Dans l’article d’aujourd’hui je vais parler des façons de se protéger contre des techniques de piratage vieilles mais toujours utilisées et efficaces lorsqu’on y prête pas assez attention. Il ne s’agit pas de programmes exécutables à proprement parler, mais d’extensions de navigateur malveillantes.

Les antivirus font leur possible pour les détecter mais cela est plus difficile que pour les classiques fichiers « .exe ».

Le seul moyen de les contrer et donc d’en prendre pleinement conscience et de faire ensuite attention, c’est le but de l’article.

Attention: Le but de l’article est de se protéger en prenant conscience, et non pas de pirater. De ce fait aucun lien ni même tutoriel ne sera donné pour effectuer des actions répréhensibles.

Ces piratages sont heureusement en voie de disparation, voire déjà disparus car les éditeurs de navigateurs web comme Mozilla Firefox et Google Chrome demandent à présent que les extensions soient signées donc approuvées avant d’être proposées au téléchargement. De quoi automatiser le nettoyage des extensions indésirables.

EDIT: C’est d’ailleurs plus ou moins le cas quelques années après, où Firefox et Chrome vérifient les extensions de navigateur soumises par les développeurs. Certaines affichent ainsi des notes du type « extension vérifiée » qu’il convient de prendre en compte.

Un piratage via les extensions de navigateur ?

Bien que les techniques ne soient pas récentes, il est possible que vous n’en ayez pas entendu parler jusque-là, d’où justement le problème.

Or, c’est le fait de ne pas connaître ce qu’on peut utiliser contre nous qui nous rend vulnérables.

Il s’agit en fait pour un pirate d’utiliser des extensions, c’est-à-dire des scripts permettant d’étendre les fonctionnalités des navigateurs pour effectuer des piratages.

Voici un exemple typique d’une extension de navigateur :

addonyoutubetomp3

Extension type « télécharger des vidéos Youtube » qui ajoute un bouton

 

Il s’agit ici d’ajouter dynamiquement un bouton sous les vidéos de Youtube pour pouvoir télécharger des vidéos.

Je précise en passant que vous n’avez habituellement pas besoin d’extensions pour cela, voici un exemple en ajoutant « pwn » devant « youtube » dans le lien de la vidéo à télécharger :

youtubetelecharger

De cette façon vous passerez par le site pwntube qui vous permet directement de télécharger votre vidéo sans installer quoi que ce soit. Cela est possible de ne pas/plus fonctionner, ce n’est qu’un exemple.

Revenons à notre sujet.

Certaines extensions de navigateur sont utilisées pour passer outre les protections typiques (mots de passe, https, etc…) car une fois installées, elles profitent pleinement des sessions actives et du contenu affiché dans le navigateur des internautes.

C’est comme si quelqu’un était connecté à son compte Facebook et que vous regardiez son écran, ou utilisiez son PC/smartphone. Aucune connexion à faire, vous êtes déjà connecté au compte !

L’extension étant activée en permanence et pouvant de plus enregistrer les touches tapées au clavier, ou attendre l’ouverture d’un site précis.

Encore pire que cela, les extensions malveillantes récupèrent directement le texte des sites web depuis le code source pour les envoyer vers un site distant.

Pour bien comprendre le problème, voici un exemple avec une conversation Facebook à partir d’un ordinateur infecté.

hackfacebooksansmotdepasse1

Notons ici que l’utilisateur n’a pas fait attention et a auparavant installé l’extension malveillante sans avoir tenu compte des messages d’avertissement lors de l’installation de l’extension…

Une fois l’extension installée, les messages reçus et envoyés sur Facebook sont récupérés en temps réel via un tableau de bord accessible par le pirate :

hackfacebooksansmotdepasse2

Les messages du passé sont également récupérés, ici une conversation de 2009 :

hackfacebooksansmotdepasse3

Oups.

Tout l’historique des conversations est pompé, et l’antivirus ne voit absolument aucun souci !

« Tout l'historique des conversations est pompé, et l'antivirus ne voit absolument aucun souci ! »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

L’utilisateur non plus… Lui (ou elle) peut « télécharger des vidéos Youtube » tranquillement pendant ce temps !

En somme :

  • L’extension de navigateur malveillante n’est pas un programme exécutable (.exe)
  • Elle fonctionne avec Windows, Mac ou Linux
  • HTTPS ou pas, ça ne change rien du tout
  • La victime n’y voit que du feu si elle n’est pas sensibilisée. C’est pourtant le seul moyen de contrer cette attaque.

Il faut quand même (re)noter que l’installation ne passe pas inaperçue dans le sens où elle n’est pas totalement silencieuse (des messages s’affichent à l’écran comme nous l’avons vu : « Voulez vous installer l’extension ? », « extension installée »…etc).

Et c’est justement là que nous devons être attentif et bien réfléchir aux risques que cela pose !

Vous êtes du type à cliquer sur « Suivant, suivant, Oui j’accepte, Installer » en 30 secondes lorsque vous installez un programme ?

Ce risque de piratage vous concerne et je dirais même qu’il est potentiellement à l’origine d’un piratage dans le passé !

Ces extensions se cachent bien sûr sous un faux nom, ici en se faisant passer pour un bloqueur de publicités (exemple réel) :firefoxkeylogger1.5

J’ai fait une vidéo dédiée à ce sujet pour relater une histoire vraie.

Celle d’un américain qui créait des extensions de navigateur malveillantes à la pelle pour ensuite en tirer parti.

L’idée n’était pas de siphonner les mots de passe et autres données personnelles, mais plutôt d’injecter des publicités ou de remplacer les publicités des sites visités pour promouvoir des produits dont il recevait une commission pour chaque clic/vente.

Le comble, c’est qu’il vendait ensuite son kit pour installer à votre tour des extensions malveillants dans les navigateurs des gens pour gagner de l’argent !

Et tout ça, c’était présenté dans des conventions américaines sur le webmarketing, normal.

Voici la vidéo :

https://www.youtube.com/watch?v=DxpKo7LYcs8

Autre point qui découle de ces extensions :

Ne vous fiez-pas à une extension parce-qu’elle s’appelle « Super Antivirus ».

Elles s’installent sous leur faux nom en un clic via l’outil d’installation habituel que l’on passe trop vite :

firefoxkeylogger3

Réfléchissez bien avant d’accepter des extensions. Firefox indique pourtant bien que des maliciels peuvent endommager votre ordinateur ou violer votre vie privée.

Comment s’en prémunir ?

Nous avons vu qu’il y a, comme bien souvent, un gros problème de connaissances et de sensibilisation chez les internautes, alors que cette dernière est le meilleur moyen de se protéger.

Voyons déjà pourquoi ces techniques de piratage réussissent.

Pourquoi elles passent outre les protections techniques ?

Les antivirus détectent tout de même aussi bien que possible ces extensions, même si on est pas encore au niveau de la recherche classique de malwares exécutables (.exe).

Le problème pour l’antivirus, c’est qu’il est difficile de décider si une extension est malveillante ou non, rien que par le fait qu’elle puisse être utilisée de façon tout à fait légitime.

À ce propos, l’extension citée dans cet article sert en temps normal à « sauvegarder ses propres conversations Facebook« .

Si vous l’installez en sachant ce que vous faites, tout va très bien.

Elle n’est pas malveillante en elle-même. Mais je ne vous donne volontairement pas de liens pour ne pas participer à une quelconque campagne de piratage.

Dans tous les cas, si l’on vous propose de l’installer, ou si vous l’installez sans le savoir ou en pensant installer « Super Antivirus », vous comprendrez qu’un gros problème se pose…

Pourquoi elles passent outre les protections humaines ?

Rien que le fait que cet article vous ait appris quelque chose, cela signifie déjà que vous étiez potentiellement vulnérable à ces attaques.

Peut-être même que vous avez des extensions déjà installées, et que vous ne savez pas exactement ce qu’elles font. La réussite d’une attaque joue beaucoup sur la ruse, et au risque de me répéter une 100ème fois, une personne non sensibilisée se fera avoir 99,9% des fois.

Voyons à présent comment éliminer ces extensions malveillantes.

Une protection efficace contre les extensions de navigateur malveillantes ?

La protection la plus efficace est en fin de compte assez bête tant elle semble redondante : Faire attention à ce qu’on télécharge, à ce qu’on clique et aux risques encourus.

Notamment en ne téléchargeant que des extensions connues depuis les sites officiels.

Le fait pour vous d’avoir pris conscience de l’existence de cette attaque est déjà un très bon point, il ne reste maintenant qu’à vérifier que vous ne soyez pas déjà victime de ces attaques.

On connaît bien « le virus caché dans une pièce-jointe d’un e-mail », mais on ne connaît pas vraiment « le virus sous forme d’extension ».

Comment savoir qu’une extension est bienveillante ?

L’idéal est donc de s’assurer (notamment par la popularité et les avis) de la légitimité des extensions. Les plus aguerris pourront observer le code source des extensions pour juger de leur état de dangerosité.

Car dans cette histoire, les codes sources des extensions sont finalement accessibles à tout le monde !

Il vous suffit de vous rendre dans le répertoire où elles sont installées (à Googler, car très volatile). Puis de lire les fichiers .JS notamment.

Si l’extension est présente sur un site officiel comme addons.mozilla.org ou chrome.google.com c’est déjà un bon signe.

Voici en plus des statistiques qui prouvent la légitimé d’une extension :

adblock

Comment savoir si nous sommes potentiellement attaqués ou victimes ?

Rendez-vous sur la page des extensions de votre navigateur :

Sous Firefox, appuyez sur CTRL + SHIFT + A, sous Chrome naviguez vers l’adresse chrome://extensions et sous IE via l’icône outils puis gérer les extensions.

Voici un exemple sous Firefox :

addons

Vous obtiendrez la liste des extensions installées. Malheureusement il n’y a pas de solution tout en un pour détecter à coup sûr une extension malveillante, sauf si elle sont marquées comme « signée » (approuvées).

Si votre navigateur est différent de Firefox, vous devez habituellement trouver deux types d’extensions, celles qui sont sûres, que vous connaissez donc et que vous avez volontairement installées, et les autres.

Une fois ce tri fait vous pouvez faire une recherche Google des extensions « suspectes » pour savoir ce qu’elles font exactement et d’où elles viennent. Si l’une d’entre elles est suspecte, désinstallez-la tout simplement et relancez le navigateur.

Un coup de Adwcleaner peut aider à se débarrasser des extensions persistantes et croyez-moi qu’elles le sont bien !

Il faut parfois réinitialiser complètement les paramètres du navigateur.

Pour ce faire :

Sous Firefox :

https://support.mozilla.org/fr/kb/reinitialiser-firefox-corriger-facilement-problemes

Sous Chrome :

https://support.google.com/chrome/answer/3296214?hl=fr

Sous Internet Explorer :

http://windows.microsoft.com/fr-fr/windows7/reset-internet-explorer-settings

Et je vous renvoie une nouvelle fois vers Cyberini pour obtenir bien d’autres pistes pour rester protégé(e) en sachant comment faire, plutôt que de juste télécharger et utiliser des programmes antivirus. J’y explique notamment une astuce pour taper son mot de passe ou son numéro de carte de façon à passer outre les logiciels espions même s’ils sont présents sur l’ordinateur.

Lecture additionnelle :

Comment savoir si j’ai été piraté(e) ?

Se faire pirater par une simple visite d’un site web, sans rien installer, c’est aussi possible !

Articles similaires

Menu