Dans l’article d’aujourd’hui je vais parler des façons de se protéger contre des techniques de piratage vieilles mais toujours utilisées et efficaces lorsqu’on y prête pas assez attention. Il ne s’agit pas de programmes exécutables à proprement parler, mais d’extensions de navigateur malveillantes.

Les antivirus font leur possible pour les détecter mais cela est plus difficile que pour les classiques fichiers « .exe ».

Le seul moyen de les contrer et donc d’en prendre pleinement conscience et de faire ensuite attention, c’est le but de l’article.

Attention: Le but de l’article est de se protéger en prenant conscience, et non pas de pirater. De ce fait aucun lien ni même tutoriel ne sera donné pour effectuer des actions répréhensibles.

Ces piratages sont heureusement en voie de disparation, voire déjà disparus car les éditeurs de navigateurs web comme Mozilla Firefox et Google Chrome demandent à présent que les extensions soient signées donc approuvées avant d’être proposées au téléchargement. De quoi automatiser le nettoyage des extensions indésirables.

EDIT: C’est d’ailleurs plus ou moins le cas quelques années après, où Firefox et Chrome vérifient les extensions de navigateur soumises par les développeurs. Certaines affichent ainsi des notes du type « extension vérifiée » qu’il convient de prendre en compte.

Un piratage via les extensions de navigateur ?

Bien que les techniques ne soient pas récentes, il est possible que vous n’en ayez pas entendu parler jusque-là, d’où justement le problème.

Or, c’est le fait de ne pas connaître ce qu’on peut utiliser contre nous qui nous rend vulnérables.

Il s’agit en fait pour un pirate d’utiliser des extensions, c’est-à-dire des scripts permettant d’étendre les fonctionnalités des navigateurs pour effectuer des piratages.

Voici un exemple typique d’une extension de navigateur :

addonyoutubetomp3

Extension type « télécharger des vidéos Youtube » qui ajoute un bouton

 

Il s’agit ici d’ajouter dynamiquement un bouton sous les vidéos de Youtube pour pouvoir télécharger des vidéos.

Je précise en passant que vous n’avez habituellement pas besoin d’extensions pour cela, voici un exemple en ajoutant « pwn » devant « youtube » dans le lien de la vidéo à télécharger :

youtubetelecharger

De cette façon vous passerez par le site pwntube qui vous permet directement de télécharger votre vidéo sans installer quoi que ce soit. Cela est possible de ne pas/plus fonctionner, ce n’est qu’un exemple.

Revenons à notre sujet.

Certaines extensions de navigateur sont utilisées pour passer outre les protections typiques (mots de passe, https, etc…) car une fois installées, elles profitent pleinement des sessions actives et du contenu affiché dans le navigateur des internautes.

C’est comme si quelqu’un était connecté à son compte Facebook et que vous regardiez son écran, ou utilisiez son PC/smartphone. Aucune connexion à faire, vous êtes déjà connecté au compte !

L’extension étant activée en permanence et pouvant de plus enregistrer les touches tapées au clavier, ou attendre l’ouverture d’un site précis.

Encore pire que cela, les extensions malveillantes récupèrent directement le texte des sites web depuis le code source pour les envoyer vers un site distant.

Pour bien comprendre le problème, voici un exemple avec une conversation Facebook à partir d’un ordinateur infecté.

hackfacebooksansmotdepasse1

Notons ici que l’utilisateur n’a pas fait attention et a auparavant installé l’extension malveillante sans avoir tenu compte des messages d’avertissement lors de l’installation de l’extension…

Une fois l’extension installée, les messages reçus et envoyés sur Facebook sont récupérés en temps réel via un tableau de bord accessible par le pirate :

hackfacebooksansmotdepasse2

Les messages du passé sont également récupérés, ici une conversation de 2009 :

hackfacebooksansmotdepasse3

Oups.

Tout l’historique des conversations est pompé, et l’antivirus ne voit absolument aucun souci !

« Tout l'historique des conversations est pompé, et l'antivirus ne voit absolument aucun souci ! »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

L’utilisateur non plus… Lui (ou elle) peut « télécharger des vidéos Youtube » tranquillement pendant ce temps !

En somme :

  • L’extension de navigateur malveillante n’est pas un programme exécutable (.exe)
  • Elle fonctionne avec Windows, Mac ou Linux
  • HTTPS ou pas, ça ne change rien du tout
  • La victime n’y voit que du feu si elle n’est pas sensibilisée. C’est pourtant le seul moyen de contrer cette attaque.

Il faut quand même (re)noter que l’installation ne passe pas inaperçue dans le sens où elle n’est pas totalement silencieuse (des messages s’affichent à l’écran comme nous l’avons vu : « Voulez vous installer l’extension ? », « extension installée »…etc).

Et c’est justement là que nous devons être attentif et bien réfléchir aux risques que cela pose !

Vous êtes du type à cliquer sur « Suivant, suivant, Oui j’accepte, Installer » en 30 secondes lorsque vous installez un programme ?

Ce risque de piratage vous concerne et je dirais même qu’il est potentiellement à l’origine d’un piratage dans le passé !

Ces extensions se cachent bien sûr sous un faux nom, ici en se faisant passer pour un bloqueur de publicités (exemple réel) :firefoxkeylogger1.5

J’ai fait une vidéo dédiée à ce sujet pour relater une histoire vraie.

Celle d’un américain qui créait des extensions de navigateur malveillantes à la pelle pour ensuite en tirer parti.

L’idée n’était pas de siphonner les mots de passe et autres données personnelles, mais plutôt d’injecter des publicités ou de remplacer les publicités des sites visités pour promouvoir des produits dont il recevait une commission pour chaque clic/vente.

Le comble, c’est qu’il vendait ensuite son kit pour installer à votre tour des extensions malveillants dans les navigateurs des gens pour gagner de l’argent !

Et tout ça, c’était présenté dans des conventions américaines sur le webmarketing, normal.

Voici la vidéo :

Autre point qui découle de ces extensions :

Ne vous fiez-pas à une extension parce-qu’elle s’appelle « Super Antivirus ».

Elles s’installent sous leur faux nom en un clic via l’outil d’installation habituel que l’on passe trop vite :

firefoxkeylogger3

Réfléchissez bien avant d’accepter des extensions. Firefox indique pourtant bien que des maliciels peuvent endommager votre ordinateur ou violer votre vie privée.

Comment s’en prémunir ?

Nous avons vu qu’il y a, comme bien souvent, un gros problème de connaissances et de sensibilisation chez les internautes, alors que cette dernière est le meilleur moyen de se protéger.

Voyons déjà pourquoi ces techniques de piratage réussissent.

Pourquoi elles passent outre les protections techniques ?

Les antivirus détectent tout de même aussi bien que possible ces extensions, même si on est pas encore au niveau de la recherche classique de malwares exécutables (.exe).

Le problème pour l’antivirus, c’est qu’il est difficile de décider si une extension est malveillante ou non, rien que par le fait qu’elle puisse être utilisée de façon tout à fait légitime.

À ce propos, l’extension citée dans cet article sert en temps normal à « sauvegarder ses propres conversations Facebook« .

Si vous l’installez en sachant ce que vous faites, tout va très bien.

Elle n’est pas malveillante en elle-même. Mais je ne vous donne volontairement pas de liens pour ne pas participer à une quelconque campagne de piratage.

Dans tous les cas, si l’on vous propose de l’installer, ou si vous l’installez sans le savoir ou en pensant installer « Super Antivirus », vous comprendrez qu’un gros problème se pose…

Pourquoi elles passent outre les protections humaines ?

Rien que le fait que cet article vous ait appris quelque chose, cela signifie déjà que vous étiez potentiellement vulnérable à ces attaques.

Peut-être même que vous avez des extensions déjà installées, et que vous ne savez pas exactement ce qu’elles font. La réussite d’une attaque joue beaucoup sur la ruse, et au risque de me répéter une 100ème fois, une personne non sensibilisée se fera avoir 99,9% des fois.

Voyons à présent comment éliminer ces extensions malveillantes.

Une protection efficace contre les extensions de navigateur malveillantes ?

La protection la plus efficace est en fin de compte assez bête tant elle semble redondante : Faire attention à ce qu’on télécharge, à ce qu’on clique et aux risques encourus.

Notamment en ne téléchargeant que des extensions connues depuis les sites officiels.

Le fait pour vous d’avoir pris conscience de l’existence de cette attaque est déjà un très bon point, il ne reste maintenant qu’à vérifier que vous ne soyez pas déjà victime de ces attaques.

On connaît bien « le virus caché dans une pièce-jointe d’un e-mail », mais on ne connaît pas vraiment « le virus sous forme d’extension ».

Comment savoir qu’une extension est bienveillante ?

L’idéal est donc de s’assurer (notamment par la popularité et les avis) de la légitimité des extensions. Les plus aguerris pourront observer le code source des extensions pour juger de leur état de dangerosité.

Car dans cette histoire, les codes sources des extensions sont finalement accessibles à tout le monde !

Il vous suffit de vous rendre dans le répertoire où elles sont installées (à Googler, car très volatile). Puis de lire les fichiers .JS notamment.

Si l’extension est présente sur un site officiel comme addons.mozilla.org ou chrome.google.com c’est déjà un bon signe.

Voici en plus des statistiques qui prouvent la légitimé d’une extension :

adblock

Comment savoir si nous sommes potentiellement attaqués ou victimes ?

Rendez-vous sur la page des extensions de votre navigateur :

Sous Firefox, appuyez sur CTRL + SHIFT + A, sous Chrome naviguez vers l’adresse chrome://extensions et sous IE via l’icône outils puis gérer les extensions.

Voici un exemple sous Firefox :

addons

Vous obtiendrez la liste des extensions installées. Malheureusement il n’y a pas de solution tout en un pour détecter à coup sûr une extension malveillante, sauf si elle sont marquées comme « signée » (approuvées).

Si votre navigateur est différent de Firefox, vous devez habituellement trouver deux types d’extensions, celles qui sont sûres, que vous connaissez donc et que vous avez volontairement installées, et les autres.

Une fois ce tri fait vous pouvez faire une recherche Google des extensions « suspectes » pour savoir ce qu’elles font exactement et d’où elles viennent. Si l’une d’entre elles est suspecte, désinstallez-la tout simplement et relancez le navigateur.

Un coup de Adwcleaner peut aider à se débarrasser des extensions persistantes et croyez-moi qu’elles le sont bien !

Il faut parfois réinitialiser complètement les paramètres du navigateur.

Pour ce faire :

Sous Firefox :

https://support.mozilla.org/fr/kb/reinitialiser-firefox-corriger-facilement-problemes

Sous Chrome :

https://support.google.com/chrome/answer/3296214?hl=fr

Sous Internet Explorer :

http://windows.microsoft.com/fr-fr/windows7/reset-internet-explorer-settings

Et je vous renvoie une nouvelle fois vers Cyberini pour obtenir bien d’autres pistes pour rester protégé(e) en sachant comment faire, plutôt que de juste télécharger et utiliser des programmes antivirus. J’y explique notamment une astuce pour taper son mot de passe ou son numéro de carte de façon à passer outre les logiciels espions même s’ils sont présents sur l’ordinateur.

Lecture additionnelle :

Comment savoir si j’ai été piraté(e) ?

Se faire pirater par une simple visite d’un site web, sans rien installer, c’est aussi possible !

28 Commentaires
Cliquez ici pour ajouter un commentaire

  • bjr expliiquez un peu bien comment connaitre qu un pirate a installé une extension dans mon ordinateur

    Répondre
    • Bonjour, j’ai rajouté une partie concernant Firefox et Chrome, il faut commencer par observer les extensions installées et faire le tri. Sinon et pour être sûr à 100% il suffit de désinstaller toutes les extensions. Attention tout de même à garder Adobe Acrobat, Java etc…

      Répondre
  • Merci pour cette information 😉 , ça me donne vrmt une idée sur l’existence des attaques en passant par les extensions :o, mais y’a il pas d’autres méthodes que je puisse le faire moi mm afin de détecter la dangerosité des extensions par exemple (accéder au fichier source puis analyser pas à pas le code js… ), je suis aussi un développeur web amateur.

    Répondre
  • Comme à ton habitude, les articles sont intéressant. Merci !

    Répondre
  • Bonjour, j’ai bien lu votre article, cependant un point reste obscur pour moi, les extensions en question qui permettent ce genre de choses ce sont les pirates informatiques qui vont les installer en accédant d’une manière ou d’une autre à notre ordinateur, ou elles seront par exemple disponible sur le catalogue d’extension de chrome, firefox…. et dans ce cas c’est nous qui allons l’installer en pensant installer une extension clean…. ?

    Répondre
  • merci Michel pour cet article très intéressant ^^

    Répondre
  • Merci beaucoup pour l’article, très intéressant. D’autres part j’ai vu par hasard votre article qui parle le thème: »comment devenir Hacker » c’est un livre très intéressant mais dommage que j’ai pas pu prendre l’adresse de la page. Pouvez vous me donner ça, là maintenant? s’il vous plaît!

    Répondre
  • jsui pa doué en informatic, j’apprend à travers vous et des gens comm vou. je di merci, merci bocou à vou tous pour votre bonne et claire explication. Et j’ajoute bien ke je ne pense devenir hacker à chapeau noir. Merci particulièrement Michel.

    Répondre
  • Salut tu peut faire un tuto ?

    Répondre
  • Merci beaucoup Michel pour l’adresse url, je vous donnerai ma constatation sur le livre après

    Répondre
  • salut man, c’est ma première fois de passer sur ton blog et j’avoue que je le kiff. en fait je suis etudiant en science informatique a Abidjan et j’ai l’impression que la formation qui est a ma disposition ne me permet pas d’aller la ou je souhaite. j’adore le hacking, non pas pour hacker mais je en veux faire une force et j’ai besoin de quelquin pour me booster. je suis tombé sur ton blog et je pense avoir eu la solution.

    Répondre
    • Salut et merci pour ton commentaire, je t’aiderais bien et avec plaisir mais il m’est impossible de suivre tout le monde personnellement. C’est pour cela que j’ai rédigé des guides, et que je réponds ici dans les commentaires si besoin. À bientôt !

      Répondre
      • salut cher maître, comme vous me l’avez dit, j’ai plusieur fois ete sur le forum mais il se trouve que je n’ai jamais eu la chance d’etre connecté en meme temps qu’un autre membre a cause du decalage horraire. Je suis peut etre le seul de ma region a etre sur votre blog.

        Répondre
  • tout simplement excellent article merci michel

    Répondre
  • Hum ouai. Premier passage sur ce site. J’ai toujours peur d’acheter sur le net surtout ici. Dois je franchir le pas? Le piegeur piégé est ce le cas ici???

    Répondre
  • Bonjour j’aimerais savoir si c’est ce possible que quelqu’un pirate mon pc ou mon téléphone a travers le wifi ,et si oui alors comment se protéger
    ?

    Répondre
  • salut michel très bien tu cela pour les gens qui souhaite en savoir plus.au niveau des attaques.
    mais tu à plus fort que cela comme attaques pas connu des gens. donc je parle ici.

    une nouvelle attaque de navigateur permet de suivre les utilisateurs en ligne avec java script désactivé ?
    un nouveau canal secondaire peut être exploité de manière fiable pour divulguer des informations à partir de navigateur

    web. qui pourraient ensuite être exploités pour suivre les utilisateurs même lorsque java script est complètement
    désactivé.

    il s’agit d’une attaque par canal secondaire qui ne nécessite aucun java script pour s’exécuter. cela signifie que les
    bloqueurs de script ne peuvent pas l’arrêter. les attaques fonctionnent même si vous supprimez toutes les

    parties amusantes de l’expérience de navigation web. cela rend très difficile la prévention sans modifier des parties
    profondes du système d’exploitation. en évitant java script les attaques par canal latéral sont également agnostiques.

    sur le plan architectural. ce qui entraîne des attaques d’empreintes de sites web micro architecturales qui fonctionnent
    sur toutes les plates formes matérielles. y compris les processeurs.

    intel core amd ryzen samsung exynos 2100 et apple m1 ce qui en fait le premier canal secondaire connu.
    attaque sur les nouveaux chipsets arm du fabricant d’iphone.

    les attaques par canal secondaire reposent généralement sur des données indirectes. telles que la synchronisation
    le son la consommation d’énergie les émissions électromagnétiques les vibrations et le comportement du cache.

    dans le but de déduire des données secrètes sur un système. plus précisément les canaux secondaires micro
    architecturaux exploitent l’utilisation partagée. des composants d’un processeur à travers le code s’exécutant dans

    différents domaines de protections. pour divulguer des informations secrètes.
    telles que des clés cryptographiques.

    des attaques entièrement automatisées telles que rowhammer js. qui ne reposent sur rien d’autre qu’un site web
    avec java script malveillant. pour déclencher des pannes sur du matériel distant obtenant ainsi un accès illimité aux

    système des visiteurs du site web.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu