Chrome, Firefox : des extensions malveillantes et une suppression parfois complexe

Mieux vaut définitivement prévenir que guérir 12
Accès libre
image dediée
Crédits : Wavebreakmedia Ltd/iStock/ThinkStock
Sécurité
Vincent Hermann

Un chercheur a récemment tiré la sonnette d’alarme : on trouve sur Chrome des extensions au comportement particulièrement dangereux, résistantes aux tentatives de désinstallation. Un problème qui rappelle que les extensions nécessitent presque la même surveillance que les applications classiques.

La sécurité des extensions n’est pas un sujet nouveau. Le principe même d’ajouter des fonctionnalités à un logiciel existant suppose la possibilité d’insérer des instructions malveillantes. Cependant, le périmètre d’action – et donc la capacité de nuisance – n’a eu de cesse de se réduire avec le temps.

Il s’agit d’une évolution globale de l’industrie logicielle : un jeu perpétuel du chat et de la souris, qui conduit les pirates à toujours plus d'ingéniosité et les éditeurs à blinder toujours plus leurs produits. C’est ainsi que les navigateurs ont abandonné d’anciens modèles pour tabler sur le standard WebExtensions du W3C. Dans la foulée, les anciens plug-ins comme Flash ou Silverlight ont presque tous été abandonnés (Flash reste notamment intégré dans Chrome et Edge).

Pourtant, le chercheur Pieter Arntz lance une piqure de rappel : même si elle a été fortement réduite, la capacité de nuisance des extensions existe bien, et il est toujours possible d’exploiter une faiblesse du navigateur.

Une extension tenace qui résiste aux désinstallations

Le chercheur, travaillant chez MalwareBytes, a publié jeudi dernier un billet de blog pour expliquer sa trouvaille : plusieurs extensions ayant toutes un comportement malveillant et se protégeant d’une désinstallation par différentes techniques. C’est, selon lui, surtout là l’aspect nouveau de la découverte.

Parmi ces extensions, l’une en particulier, nommée « Tiempo en colombia en vivo », s’est montrée particulièrement difficile à supprimer. Première défense, la redirection systématique de l’utilisateur vers une autre page quand il cherche à accéder à la liste des extensions installées. Plus précisément, l’adresse « chrome://extensions/ » est redirigée vers « chrome://apps/?r=extensions », d’où l’extension malveillante est absente. Si l’internaute n’est pas attentif à l’URL, il tombe dans le panneau.

Ce n’est qu’un cas parmi d’autres, dans un lot d’extensions qui ont toutes été signalées à Google. L’éditeur a confirmé qu’elles avaient été supprimées du catalogue, et que le « kill switch » avait été actionné, envoyant un signal de désinstallation à toutes les instances de Chrome concernées.

Chrome plus concerné que Firefox

Si le navigateur de Google est plus mis en avant que celui de Mozilla, c’est parce qu’il contient une faiblesse inhérente à son fonctionnement. Comme l’indique Arntz, la solution la plus évidente pour se débarrasser de l’extension serait de redémarrer Chrome en mode sans extensions, ce que l’on peut faire en ligne de commande avec l’opérateur « –disable-extensions ».

Chrome va effectivement se lancer en désactivant tous les modules tiers. Mais à la différence de Firefox qui liste quand même toutes les extensions installées (laisser Maj enfoncé pendant son démarrage), Chrome ne les affiche pas. Même dans ce mode, l’utilisateur ne peut donc toujours pas atteindre les modules malveillants pour les supprimer.

Seule solution, trouver le fichier JavaScript associé (dont le code est en grande partie masqué) et le renommer, car désactiver directement JavaScript n’est d’aucun secours. L’extension ne trouvant plus ledit fichier, Chrome affiche une alerte en rouge sous son nom, pour indiquer qu’elle a peut-être été corrompue. Auquel cas l’icône de la corbeille apparait sur la droite, rendant possible la suppression.

La vigilance des utilisateurs doit s’étendre aux extensions

Quelques jours avant ce billet de blog, d’autres chercheurs publiaient un rapport mentionnant quatre extensions Chrome malveillantes qui avaient totalisé plus de 500 000 installations. Sans que le chiffre soit immense rapporté au nombre d’internautes dans le monde, il était suffisamment significatif pour braquer à nouveau la lumière sur un phénomène peut-être trop souvent sous-estimé.

La centralisation des extensions via des boutiques rattachées à chaque navigateur limite sans doute la casse, chaque éditeur imposant des règles et vérifiant le fonctionnement du code tiers de façon plus ou moins approfondie. Mais les cas mentionnés prouvent qu’à l’instar des boutiques d’applications sur les plateformes mobiles, des extensions peuvent quand même passer à travers les mailles du filet. La plupart des éditeurs disposent donc un kill switch pour s’assurer qu’un code malveillant découvert après coup ne restera pas accroché aux machines infectées.

Bien entendu, dans l’intervalle, ledit code peut accomplir son méfait. Dans le cas de « Tiempo en colombia en vivo », elle a été signalée à Google le 29 décembre, mais n’a été supprimée que mercredi dernier (17 janvier). Pendant toute la durée de sa présence sur le Web Store, l’extension générait notamment des clics sur des vidéos YouTube. Le chercheur estime qu'elle avait donc au moins pour mission de faciliter la monétisation de certains contenus.

Par ailleurs, même ceux qui n’allaient pas la chercher pouvaient être abusés, puisque des sites utilisaient divers moyens pour convaincre l’utilisateur de l’installer, jusqu’à l’empêcher de quitter la page en affichant de multiples fenêtres.

L’utilisateur doit donc se méfier autant des sites qu’il visite que des extensions qu’il choisit d’installer, particulièrement quand il commence à fouiller du côté de développeurs peu connus. Cette activité malveillante est d’ailleurs dommageable pour ces derniers, puisque la méfiance des internautes se concentre tout particulièrement sur tout ce qui sort des sentiers battus. Quand l’identité des sources légitimes n’est pas carrément usurpée.

Rassurer les internautes pour mieux les piéger

Comme le rapporte Ars Technica, James Oppenheim gère le site JamesGames.com, consacré aux jeux pour enfants. Il n’édite de lui-même aucun code. Surprise, son nom est pourtant associé à au moins une extension malveillante : Play Red Ball version 4, depuis supprimée. 

Son attention a été attirée quand un Indien nommé « Ganesh » lui a écrit un email lui proposant de racheter son extension. Estimant qu’il s’agissait de spam, il a supprimé le message. Mais Ganesh est revenu deux autres fois à la charge, son ton devenant plus pressant. Pris d’un doute, James Oppenheim entre en contact avec son interlocuteur, qui lui pointe alors la fiche de l’extension dans le Web Store de Chrome.

Surprise, cette dernière mentionne « James Extensions! » comme nom officiel de l’éditeur, ajoutant l’adresse de son propre site officiel comme moyen de contact. L’extension se présente comme un jeu et affiche une note de quatre étoiles sur cinq. Toutes les apparences d’un contenu sérieux et parfaitement authentique.

Et pourtant, de nombreux commentaires laissés par des internautes mentionnent clairement qu’il s’agit d’un malware. Il a donc contacté Google pour les avertir du problème, il y a environ deux semaines. Vendredi, quand Ars Technica a publié son article, l’extension était toujours en ligne. Aujourd’hui, l’adresse renvoie sur une erreur. Signe que la demande a enfin été prise en compte. La médiatisation du cas par nos confrères a pu également avoir une influence.

La pression sur les éditeurs

Dès lors qu’un éditeur choisit de rendre obligatoire une plateforme précise pour récupérer des contenus tiers, il fait face à des responsabilités. Le cas des extensions n’est pas différent de l’App Store d’Apple ou du Play Store de Google : le code publié doit être contrôlé, pour inciter l’utilisateur à ne se fier qu’à des sources de confiance.

De l’avis du chercheur Pieter Arntz, Chrome serait aujourd’hui le navigateur le plus sécurisé. Le cas de ces extensions est donc un rappel utile qu’aucun logiciel ne peut assurer une protection absolue : la menace évolue constamment, et ses multiples auteurs cherchent sans relâche la moindre faiblesse à exploiter.

Si la perfection ne peut évidemment pas être atteinte – à moins peut-être de tout verrouiller au point de rendre une solution presque inutilisable, et encore – rien n’empêche les éditeurs de s’adapter. Ars Technica a d’ailleurs posé plusieurs questions à Google, dont celle des intentions de l’entreprise pour mieux lutter contre ce phénomène, ou la possibilité de simplifier la désinstallation des extensions. La firme s’est cantonnée à l’exemple de Pieter Arntz, précisant que tout avait été nettoyé.

En attendant, la vigilance de l’internaute et des logiciels à jour restent la meilleure défense contre les menaces potentielles. Ce d’autant plus que, même si Chrome adopte un comportement similaire à Firefox, cela ne résoudra que la suppression a posteriori. Traduction, prévenir restera toujours plus efficace que guérir.


chargement
Chargement des commentaires...