Dans l’article d’aujourd’hui je vais parler des façons de se protéger contre des techniques de piratage vieilles mais qui pourraient toujours utilisées et efficaces lorsqu’on y prête pas assez attention. Il ne s’agit pas de programmes exécutables à proprement parler, mais d’extensions de navigateur.

Les antivirus font leur possible pour les détecter mais cela est plus difficile que pour les classiques fichiers « .exe ».

Le seul moyen de les contrer et donc d’en prendre pleinement conscience et de faire ensuite attention, c’est le but de l’article.

Attention: Le but de l’article est de se protéger en prenant conscience, et non pas de pirater. De ce fait aucun lien ni même tutoriel ne sera donné pour effectuer des actions répréhensibles.

Ces piratages sont heureusement en voie de disparation, voire déjà disparus car les éditeurs de navigateurs web comme Mozilla Firefox et Google Chrome demandent à présent que les extensions soient signées donc approuvées avant d’être proposées au téléchargement. De quoi automatiser le nettoyage des extensions indésirables.

Un piratage via les extensions de navigateurs ?

Bien que les techniques ne soient pas récentes, il est possible que vous n’en ayez pas entendu parler jusque là, d’où justement le problème.

C’est le fait de ne pas connaître ce qu’on peut utiliser contre nous qui nous rend vulnérables.

Il s’agit en fait pour un pirate d’utiliser des extensions, c’est-à-dire des scripts permettant d’étendre les fonctionnalités des navigateurs pour effectuer des piratages.

Voici un exemple typique d’une extension de navigateur :

addonyoutubetomp3

Il s’agit ici d’ajouter dynamiquement un bouton sous les vidéos de Youtube pour télécharger des vidéos.

Je précise en passant que vous n’avez habituellement pas besoin d’extensions pour cela, voici un exemple en ajoutant « pwn » devant « youtube » dans le lien de la vidéo à télécharger :

youtubetelecharger

De cette façon vous passerez par le site pwntube qui vous permet directement de télécharger votre vidéo sans installer quoi que ce soit.

Revenons à notre sujet. Certaines extensions sont utilisées pour passer outre les protections typiques (mots de passe, https, etc…) car une fois installées, elles profitent pleinement des sessions actives et du contenu affiché dans le navigateur des internautes.

L’extension est activée en permanence et peut enregistrer les touches tapées au clavier ou attendre l’ouverture d’un site précis.

Encore pire que cela, les extensions malveillantes récupèrent directement le texte des sites web depuis le code source pour les envoyer vers un site distant.

Pour bien comprendre le problème, voici un exemple avec une conversation Facebook à partir d’un ordinateur infecté.

hackfacebooksansmotdepasse1

Notons ici que l’utilisateur n’a pas fait attention et a auparavant installé l’extension malveillante sans avoir tenu compte des messages d’avertissement lors de l’installation de l’extension…

Une fois l’extension installée, les messages reçus et envoyés sont récupérés en temps réel via un tableau de bord :

hackfacebooksansmotdepasse2

Les messages du passé sont également récupérés, ici une conversation de 2009 :

hackfacebooksansmotdepasse3

En somme :

  • L’extension n’est pas un programme exécutable (.exe)
  • Elle fonctionne avec Windows, Mac ou Linux
  • HTTPS ou pas, ça ne change rien
  • La victime n’y voit que du feu si elle n’est pas sensibilisée. C’est pourtant le meilleur moyen de contrer cette attaque.

Il faut quand même (re)noter que l’installation ne passe pas inaperçue dans le sens où elle n’est pas totalement silencieuse (des messages s’affichent à l’écran comme nous l’avons vu : « Voulez vous installer l’extension ? », « extension installée »…etc) et c’est justement là que nous devons être attentif et bien réfléchir aux risques que cela pose !

Vous êtes du type à cliquer sur « Suivant, suivant, Oui j’accepte, Installer » en 30 secondes lorsque vous installez un programme ?

Ce risque de piratage vous concerne et je dirais même qu’il est potentiellement à l’origine d’un piratage dans le passé !

Ces extensions se cachent bien sûr sous un faux nom, ici en se faisant passer pour un bloqueur de publicités :firefoxkeylogger1.5

Une autre leçon en découle : Ne vous fiez-pas à une extension parce-qu’elle s’appelle « Super Antivirus ».

Elles s’installent sous leur faux nom en un clic via l’outil d’installation habituel que l’on passe trop vite :

firefoxkeylogger3

Réfléchissez bien avant d’accepter des extensions. Firefox indique pourtant bien que des maliciels peuvent endommager votre ordinateur ou violer votre vie privée.

Comment s’en prémunir ?

Nous avons vu qu’il y a comme bien souvent un gros problème de connaissances et de sensibilisation chez les internautes, alors que cette dernière est le meilleur moyen de se protéger.

Voyons déjà pourquoi ces techniques de piratage réussissent.

Pourquoi elles passent outre les protections techniques ?

Les antivirus détectent tout de même aussi bien que possible ces extensions, même si on est pas encore au niveau de la recherche classique de malwares exécutables (.exe).

Le problème pour l’antivirus, c’est qu’il est difficile de décider si une extension est malveillante ou non, rien que par le fait qu’elle puisse être utilisée de façon tout à fait légitime.

À ce propos, l’extension citée dans cet article sert en temps normal à « sauvegarder ses propres conversations Facebook« .

Si vous l’installez en sachant ce que vous faites, tout va très bien. Mais si on vous l’installe, ou si vous l’installez sans le savoir ou en pensant installer « Super Antivirus », vous comprendrez qu’un gros problème se pose…

Pourquoi elles passent outre les protections humaines ?

Rien que le fait que cet article vous ait appris quelque chose, cela signifie déjà que vous étiez potentiellement vulnérable à ces attaques. J’espère que vous ne le serez plus dorénavant.

Peut-être même que vous avez des extensions déjà installées et que vous ne savez pas exactement ce qu’elles font. La réussite d’une attaque joue beaucoup sur la ruse, et au risque de me répéter une 100ème fois, une personne non sensibilisée se fera avoir 99,9% des fois. Voyez plus bas pour éliminer ces extensions malveillantes.

Une protection efficace ?

La protection la plus efficace est en fin de compte assez bête tant elle semble redondante : Faire attention à ce qu’on télécharge, à ce qu’on clique et aux risques encourus. Notamment en ne téléchargeant que des extensions connues depuis les sites officiels.

Le fait pour vous d’avoir pris conscience de l’existence de cette attaque est déjà un très bon point, il ne reste maintenant qu’à vérifier que vous ne soyez pas déjà victime de ces attaques.

On connaît bien « le virus caché dans une pièce-jointe d’un e-mail », mais on ne connaît pas vraiment « le virus sous forme d’extension ».

Comment savoir qu’une extension est bienveillante ?

L’idéal est donc de s’assurer (notamment par la popularité et les avis) de la légitimité des extensions. Les plus aguerris pourront observer le code source des extensions pour juger de leur état de dangerosité.

Que l’extension soit présente sur un site officiel comme addons.mozilla.org ou chrome.google.com est déjà un bon signe.

Voici en plus des statistiques qui prouvent la légitimé d’une extension :

adblock

Comment savoir si nous sommes potentiellement attaqués ou victimes ?

Rendez-vous sur la page des extensions de votre navigateur :

Sous Firefox, appuyez sur CTRL + SHIFT + A, sous Chrome naviguez vers l’adresse chrome://extensions et sous IE via l’icône outils puis gérer les extensions.

Voici un exemple sous Firefox :

addons

Vous obtiendrez la liste des extensions installées. Malheureusement il n’y a pas de solution tout en un pour détecter à coup sûr une extension malveillante, sauf si elle sont marquées comme « signée » (approuvées).

Si votre navigateur est différent de Firefox, vous devez habituellement trouver deux types d’extensions, celles qui sont sûres, que vous connaissez donc et que vous avez volontairement installées, et les autres.

Une fois ce tri fait vous pouvez faire une recherche Google des extensions « suspectes » pour savoir ce qu’elle font exactement et d’où elles viennent. Si l’une d’entre elles est suspecte, désinstallez-la tout simplement et relancez le navigateur.

Un coup de Adwcleaner peut aider à se débarrasser des extensions persistantes et croyez-moi qu’elles le sont bien !

Il faut parfois réinitialiser complétement les paramètres du navigateur. Pour se faire :

Sous Firefox :

https://support.mozilla.org/fr/kb/reinitialiser-firefox-corriger-facilement-problemes

Sous Chrome :

https://support.google.com/chrome/answer/3296214?hl=fr

Sous Internet Explorer :

http://windows.microsoft.com/fr-fr/windows7/reset-internet-explorer-settings

Et je vous renvoie une nouvelle fois vers le guide Protéger son Ordinateur et sa Vie Privée récemment mis à jour qui donne bien d’autres pistes pour rester protégé(e) en sachant comment faire, plutôt que de juste télécharger et utiliser des programmes antivirus. J’y explique notamment une astuce pour taper son mot de passe ou son numéro de carte de façon à passer outre les logiciels espions même si ils sont présents sur l’ordinateur.

Lecture additionnelle :

Comment savoir si j’ai été piraté(e) ?

Se faire pirater par une simple visite d’un site web, sans rien installer, c’est aussi possible !

27 Commentaires
Cliquez ici pour ajouter un commentaire

Laisser un commentaire

Menu