Les chercheurs de SquareX exposent l’attaque OAuth sur les extensions Chrome quelques jours avant une violation majeure

Lucas Morel

SquareX, une première solution de détection et de réponse du navigateur (BDR), ouvre la voie en matière de sécurité des navigateurs. Il y a environ une semaine, SquareX a signalé des attaques à grande échelle ciblant les développeurs d’extensions Chrome visant à reprendre l’extension Chrome du Chrome Store.

Le 25 décembre 2024, une version malveillante de l’extension de navigateur de Cyberhaven a été publiée sur le Chrome Store, permettant à l’attaquant de détourner des sessions authentifiées et d’exfiltrer des informations confidentielles. L’extension malveillante était disponible en téléchargement pendant plus de 30 heures avant d’être supprimée par Cyberhaven. La société de prévention des pertes de données a refusé de commenter l’ampleur de l’impact lorsqu’elle a été contactée par la presse, mais l’extension comptait plus de 400 000 utilisateurs sur le Chrome Store au moment de l’attaque.

Malheureusement, l’attaque a eu lieu alors que les chercheurs de SquareX avaient identifié une attaque similaire avec une vidéo démontrant l’intégralité du parcours d’attaque juste une semaine avant la brèche de Cyberhaven. L’attaque commence par un e-mail de phishing usurpant l’identité du Chrome Store et contenant une prétendue violation du « Contrat de développement » de la plateforme, exhortant le destinataire à accepter les politiques visant à empêcher la suppression de son extension du Chrome Store. En cliquant sur le bouton de politique, l’utilisateur est invité à connecter son compte Google à une « extension de politique de confidentialité », qui permet à l’attaquant d’accéder à la modification, à la mise à jour et à la publication d’extensions sur le compte du développeur.

Fig 1. E-mail de phishing ciblant les développeurs d'extensions
Fig 2. Fausse extension de politique de confidentialité demandant l'accès pour « modifier, mettre à jour ou publier » l'extension du développeur

Les extensions sont devenues un moyen de plus en plus populaire pour les attaquants d’obtenir un accès initial. En effet, la plupart des organisations ont un pouvoir limité sur les extensions de navigateur utilisées par leurs employés. Même les équipes de sécurité les plus rigoureuses ne surveillent généralement pas les mises à jour ultérieures une fois qu’une extension est ajoutée à la liste blanche.

SquareX a mené des recherches approfondies et démontré lors de la DEFCON 32 comment des extensions compatibles MV3 peuvent être utilisées pour voler des flux vidéo, ajouter un collaborateur GitHub silencieux et voler des cookies de session, entre autres. Les attaquants peuvent créer une extension apparemment inoffensive et la convertir ultérieurement en une extension malveillante après l’installation ou, comme démontré dans l’attaque ci-dessus, tromper les développeurs derrière une extension fiable pour accéder à une extension qui compte déjà des centaines de milliers d’utilisateurs. Dans le cas de Cyberhaven, les attaquants ont pu voler les informations d’identification de l’entreprise sur plusieurs sites Web et applications Web grâce à la version malveillante de l’extension.

Étant donné que les e-mails des développeurs sont répertoriés publiquement sur le Chrome Store, il est facile pour les attaquants de cibler des milliers de développeurs d’extensions à la fois. Ces e-mails sont généralement utilisés pour signaler des bugs. Ainsi, même les e-mails d’assistance répertoriés pour les extensions de grandes entreprises sont généralement acheminés vers des développeurs qui n’ont peut-être pas le niveau de sensibilisation à la sécurité requis pour détecter des soupçons dans une telle attaque. Selon la divulgation de l’attaque de SquareX et la violation de Cyberhaven survenue en moins de deux semaines, la société a de bonnes raisons de croire que de nombreux autres fournisseurs d’extensions de navigateur sont attaqués de la même manière. SquareX exhorte les entreprises et les particuliers à procéder à une inspection minutieuse avant d’installer ou de mettre à jour des extensions de navigateur.

Fig 3. Les coordonnées des développeurs d'extensions sont accessibles au public sur le Chrome Store

L’équipe SquareX comprend qu’il peut être non trivial d’évaluer et de surveiller chaque extension de navigateur parmi toutes les priorités de sécurité concurrentes, en particulier lorsqu’il s’agit d’attaques zero-day. Comme le montre la vidéo, la fausse application de politique de confidentialité impliquée dans la violation de Cyberhaven n’a même pas été détectée par les flux de menaces populaires.

La solution Browser Detection and Response (BDR) de SquareX élimine cette complexité pour les équipes de sécurité en :

  • Bloquer les interactions OAuth avec des sites Web non autorisés pour empêcher les employés de donner accidentellement à des attaquants un accès non autorisé à votre compte Chrome Store
  • Bloquer et/ou signaler toute mise à jour d’extension suspecte contenant de nouvelles autorisations risquées
  • Bloquer et/ou signaler toute extension suspecte avec une vague d’avis négatifs
  • Bloquer et/ou signaler les installations d’extensions téléchargées de manière latérale
  • Rationalisez toutes les demandes d’installations d’extensions en dehors de la liste autorisée pour une approbation rapide basée sur la politique de l’entreprise
  • Visibilité complète sur toutes les extensions installées et utilisées par les employés dans toute l’organisation

Le fondateur de SquareX, Vivek Ramachandran, prévient : « Les attaques d’identité ciblant les extensions de navigateur, similaires à cette attaque OAuth, ne feront que devenir plus répandues à mesure que les employés s’appuieront davantage sur des outils basés sur un navigateur pour être productifs au travail. Des variantes similaires de ces attaques ont été utilisées dans le passé pour voler des données cloud à partir d’applications telles que Google Drive et One Drive et nous verrons seulement les attaquants faire preuve de plus de créativité dans l’exploitation des extensions de navigateur. Les entreprises doivent rester vigilantes et minimiser les risques liés à leur chaîne d’approvisionnement sans entraver la productivité des employés en les équipant des bons outils natifs de navigateur.

À propos de SquareX :

SquareX aide les organisations à détecter, atténuer et traquer les attaques Web côté client contre leurs utilisateurs en temps réel.

La première solution de détection et de réponse du navigateur (BDR) de SquareX adopte une approche de la sécurité du navigateur axée sur les attaques, garantissant que les utilisateurs de l’entreprise sont protégés contre les menaces avancées telles que les codes QR malveillants, le phishing par navigateur dans le navigateur, les logiciels malveillants basés sur des macros, et d’autres attaques Web englobant des fichiers malveillants, des sites Web, des scripts et des réseaux compromis.

Avec SquareX, les entreprises peuvent fournir aux sous-traitants et aux travailleurs à distance un accès sécurisé aux applications internes et aux SaaS d’entreprise, et convertir les navigateurs sur les appareils BYOD/non gérés en sessions de navigation fiables.

Contact

Responsable des relations publiques

Junice Liew

CarréX

junice@sqrx.com