Accueil » Actualités » Attention aux piratages via les extensions de navigateurs

Dans l’article d’aujourd’hui je vais parler des façons de se protéger contre des techniques de piratage vieilles mais qui pourraient toujours utilisées et efficaces lorsqu’on y prête pas assez attention. Il ne s’agit pas de programmes exécutables à proprement parler, mais d’extensions de navigateur.

Les antivirus font leur possible pour les détecter mais cela est plus difficile que pour les classiques fichiers « .exe ».

Le seul moyen de les contrer et donc d’en prendre pleinement conscience et de faire ensuite attention, c’est le but de l’article.

Attention: Le but de l’article est de se protéger en prenant conscience, et non pas de pirater. De ce fait aucun lien ni même tutoriel ne sera donné pour effectuer des actions répréhensibles.

Ces piratages sont heureusement en voie de disparation, voire déjà disparus car les éditeurs de navigateurs web comme Mozilla Firefox et Google Chrome demandent à présent que les extensions soient signées donc approuvées avant d’être proposées au téléchargement. De quoi automatiser le nettoyage des extensions indésirables.

 

Un piratage via les extensions de navigateurs ?

Bien que les techniques ne soient pas récentes, il est possible que vous n’en ayez pas entendu parler jusque là, d’où justement le problème.

C’est le fait de ne pas connaître ce qu’on peut utiliser contre nous qui nous rend vulnérables.

Il s’agit en fait pour un pirate d’utiliser des extensions, c’est-à-dire des scripts permettant d’étendre les fonctionnalités des navigateurs pour effectuer des piratages.

Voici un exemple typique d’une extension de navigateur :

addonyoutubetomp3

Il s’agit ici d’ajouter dynamiquement un bouton sous les vidéos de Youtube pour télécharger des vidéos.

Je précise en passant que vous n’avez habituellement pas besoin d’extensions pour cela, voici un exemple en ajoutant « pwn » devant « youtube » dans le lien de la vidéo à télécharger :

youtubetelecharger

De cette façon vous passerez par le site pwntube qui vous permet directement de télécharger votre vidéo sans installer quoi que ce soit.

Revenons à notre sujet. Certaines extensions sont utilisées pour passer outre les protections typiques (mots de passe, https, etc…) car une fois installées, elles profitent pleinement des sessions actives et du contenu affiché dans le navigateur des internautes.

L’extension est activée en permanence et peut enregistrer les touches tapées au clavier ou attendre l’ouverture d’un site précis.

Encore pire que cela, les extensions malveillantes récupèrent directement le texte des sites web depuis le code source pour les envoyer vers un site distant.

Pour bien comprendre le problème, voici un exemple avec une conversation Facebook à partir d’un ordinateur infecté.

hackfacebooksansmotdepasse1

Notons ici que l’utilisateur n’a pas fait attention et a auparavant installé l’extension malveillante sans avoir tenu compte des messages d’avertissement lors de l’installation de l’extension…

Une fois l’extension installée, les messages reçus et envoyés sont récupérés en temps réel via un tableau de bord :

hackfacebooksansmotdepasse2

Les messages du passé sont également récupérés, ici une conversation de 2009 :

hackfacebooksansmotdepasse3

En somme :

  • L’extension n’est pas un programme exécutable (.exe)
  • Elle fonctionne avec Windows, Mac ou Linux
  • HTTPS ou pas, ça ne change rien
  • La victime n’y voit que du feu si elle n’est pas sensibilisée. C’est pourtant le meilleur moyen de contrer cette attaque.

Il faut quand même (re)noter que l’installation ne passe pas inaperçue dans le sens où elle n’est pas totalement silencieuse (des messages s’affichent à l’écran comme nous l’avons vu : « Voulez vous installer l’extension ? », « extension installée »…etc) et c’est justement là que nous devons être attentif et bien réfléchir aux risques que cela pose !

Vous êtes du type à cliquer sur « Suivant, suivant, Oui j’accepte, Installer » en 30 secondes lorsque vous installez un programme ?

Ce risque de piratage vous concerne et je dirais même qu’il est potentiellement à l’origine d’un piratage dans le passé !

Ces extensions se cachent bien sûr sous un faux nom, ici en se faisant passer pour un bloqueur de publicités :firefoxkeylogger1.5

Une autre leçon en découle : Ne vous fiez-pas à une extension parce-qu’elle s’appelle « Super Antivirus ».

Elles s’installent sous leur faux nom en un clic via l’outil d’installation habituel que l’on passe trop vite :

firefoxkeylogger3

Réfléchissez bien avant d’accepter des extensions. Firefox indique pourtant bien que des maliciels peuvent endommager votre ordinateur ou violer votre vie privée.

 

Comment s’en prémunir ?

Nous avons vu qu’il y a comme bien souvent un gros problème de connaissances et de sensibilisation chez les internautes, alors que cette dernière est le meilleur moyen de se protéger.

Voyons déjà pourquoi ces techniques de piratage réussissent.

Pourquoi elles passent outre les protections techniques ?

Les antivirus détectent tout de même aussi bien que possible ces extensions, même si on est pas encore au niveau de la recherche classique de malwares exécutables (.exe).

Le problème pour l’antivirus, c’est qu’il est difficile de décider si une extension est malveillante ou non, rien que par le fait qu’elle puisse être utilisée de façon tout à fait légitime.

À ce propos, l’extension citée dans cet article sert en temps normal à « sauvegarder ses propres conversations Facebook« .

Si vous l’installez en sachant ce que vous faites, tout va très bien. Mais si on vous l’installe, ou si vous l’installez sans le savoir ou en pensant installer « Super Antivirus », vous comprendrez qu’un gros problème se pose…

Pourquoi elles passent outre les protections humaines ?

Rien que le fait que cet article vous ait appris quelque chose, cela signifie déjà que vous étiez potentiellement vulnérable à ces attaques. J’espère que vous ne le serez plus dorénavant.

Peut-être même que vous avez des extensions déjà installées et que vous ne savez pas exactement ce qu’elles font. La réussite d’une attaque joue beaucoup sur la ruse, et au risque de me répéter une 100ème fois, une personne non sensibilisée se fera avoir 99,9% des fois. Voyez plus bas pour éliminer ces extensions malveillantes.

Une protection efficace ?

La protection la plus efficace est en fin de compte assez bête tant elle semble redondante : Faire attention à ce qu’on télécharge, à ce qu’on clique et aux risques encourus. Notamment en ne téléchargeant que des extensions connues depuis les sites officiels.

Le fait pour vous d’avoir pris conscience de l’existence de cette attaque est déjà un très bon point, il ne reste maintenant qu’à vérifier que vous ne soyez pas déjà victime de ces attaques.

On connaît bien « le virus caché dans une pièce-jointe d’un e-mail », mais on ne connaît pas vraiment « le virus sous forme d’extension ».

 

Comment savoir qu’une extension est bienveillante ?

L’idéal est donc de s’assurer (notamment par la popularité et les avis) de la légitimité des extensions. Les plus aguerris pourront observer le code source des extensions pour juger de leur état de dangerosité.

Que l’extension soit présente sur un site officiel comme addons.mozilla.org ou chrome.google.com est déjà un bon signe.

Voici en plus des statistiques qui prouvent la légitimé d’une extension :

adblock

 

Comment savoir si nous sommes potentiellement attaqués ou victimes ?

Rendez-vous sur la page des extensions de votre navigateur :

Sous Firefox, appuyez sur CTRL + SHIFT + A, sous Chrome naviguez vers l’adresse chrome://extensions et sous IE via l’icône outils puis gérer les extensions.

Voici un exemple sous Firefox :

addons

Vous obtiendrez la liste des extensions installées. Malheureusement il n’y a pas de solution tout en un pour détecter à coup sûr une extension malveillante, sauf si elle sont marquées comme « signée » (approuvées).

Si votre navigateur est différent de Firefox, vous devez habituellement trouver deux types d’extensions, celles qui sont sûres, que vous connaissez donc et que vous avez volontairement installées, et les autres.

Une fois ce tri fait vous pouvez faire une recherche Google des extensions « suspectes » pour savoir ce qu’elle font exactement et d’où elles viennent. Si l’une d’entre elles est suspecte, désinstallez-la tout simplement et relancez le navigateur.

Un coup de Adwcleaner peut aider à se débarrasser des extensions persistantes et croyez-moi qu’elles le sont bien !

Il faut parfois réinitialiser complétement les paramètres du navigateur. Pour se faire :

Sous Firefox :

https://support.mozilla.org/fr/kb/reinitialiser-firefox-corriger-facilement-problemes

Sous Chrome :

https://support.google.com/chrome/answer/3296214?hl=fr

Sous Internet Explorer :

http://windows.microsoft.com/fr-fr/windows7/reset-internet-explorer-settings

Et je vous renvoie une nouvelle fois vers le guide Protéger son Ordinateur et sa Vie Privée récemment mis à jour qui donne bien d’autres pistes pour rester protégé(e) en sachant comment faire, plutôt que de juste télécharger et utiliser des programmes antivirus. J’y explique notamment une astuce pour taper son mot de passe ou son numéro de carte de façon à passer outre les logiciels espions même si ils sont présents sur l’ordinateur.

25 Commentaires

  1. bjr expliiquez un peu bien comment connaitre qu un pirate a installé une extension dans mon ordinateur

    • Bonjour, j’ai rajouté une partie concernant Firefox et Chrome, il faut commencer par observer les extensions installées et faire le tri. Sinon et pour être sûr à 100% il suffit de désinstaller toutes les extensions. Attention tout de même à garder Adobe Acrobat, Java etc…

  2. Merci pour cette information 😉 , ça me donne vrmt une idée sur l’existence des attaques en passant par les extensions :o, mais y’a il pas d’autres méthodes que je puisse le faire moi mm afin de détecter la dangerosité des extensions par exemple (accéder au fichier source puis analyser pas à pas le code js… ), je suis aussi un développeur web amateur.

  3. Comme à ton habitude, les articles sont intéressant. Merci !

  4. Bonjour, j’ai bien lu votre article, cependant un point reste obscur pour moi, les extensions en question qui permettent ce genre de choses ce sont les pirates informatiques qui vont les installer en accédant d’une manière ou d’une autre à notre ordinateur, ou elles seront par exemple disponible sur le catalogue d’extension de chrome, firefox…. et dans ce cas c’est nous qui allons l’installer en pensant installer une extension clean…. ?

  5. LeHackerDesBois a écrit:

    merci Michel pour cet article très intéressant ^^

  6. Merci beaucoup pour l’article, très intéressant. D’autres part j’ai vu par hasard votre article qui parle le thème: »comment devenir Hacker » c’est un livre très intéressant mais dommage que j’ai pas pu prendre l’adresse de la page. Pouvez vous me donner ça, là maintenant? s’il vous plaît!

  7. jsui pa doué en informatic, j’apprend à travers vous et des gens comm vou. je di merci, merci bocou à vou tous pour votre bonne et claire explication. Et j’ajoute bien ke je ne pense devenir hacker à chapeau noir. Merci particulièrement Michel.

  8. Salut tu peut faire un tuto ?

  9. Merci beaucoup Michel pour l’adresse url, je vous donnerai ma constatation sur le livre après

  10. salut man, c’est ma première fois de passer sur ton blog et j’avoue que je le kiff. en fait je suis etudiant en science informatique a Abidjan et j’ai l’impression que la formation qui est a ma disposition ne me permet pas d’aller la ou je souhaite. j’adore le hacking, non pas pour hacker mais je en veux faire une force et j’ai besoin de quelquin pour me booster. je suis tombé sur ton blog et je pense avoir eu la solution.

    • Salut et merci pour ton commentaire, je t’aiderais bien et avec plaisir mais il m’est impossible de suivre tout le monde personnellement. C’est pour cela que j’ai rédigé des guides, il y a aussi le forum pour discuter avec d’autres membres et en apprendre tous les jours. À bientôt !

      • salut cher maître, comme vous me l’avez dit, j’ai plusieur fois ete sur le forum mais il se trouve que je n’ai jamais eu la chance d’etre connecté en meme temps qu’un autre membre a cause du decalage horraire. Je suis peut etre le seul de ma region a etre sur votre blog.

  11. tout simplement excellent article merci michel

  12. Hum ouai. Premier passage sur ce site. J’ai toujours peur d’acheter sur le net surtout ici. Dois je franchir le pas? Le piegeur piégé est ce le cas ici???

Laisser un commentaire

Lire plus :
tor anonymat
Pourquoi TOR ne garantit pas l’anonymat

TOR utilise des serveurs appelés des nœuds entre votre ordinateur et le serveur cible que vous souhaitez accéder. Admettons par...

Fermer