Compromettre le navigateur est une cible à haut rendement pour les adversaires. Les extensions de navigateur, qui sont de petits modules logiciels ajoutés au navigateur et pouvant améliorer l’expérience de navigation, sont devenues un vecteur d’attaque populaire du navigateur. En effet, ils sont largement adoptés par les utilisateurs et peuvent facilement devenir malveillants du fait des actions des développeurs ou des attaques contre des extensions légitimes.
Des incidents récents comme DataSpii et le Nigelépine Les attaques de logiciels malveillants ont révélé l’étendue des dommages que les extensions malveillantes peuvent infliger. Dans les deux cas, les utilisateurs ont installé innocemment des extensions qui compromettaient leur confidentialité et leur sécurité. Le problème sous-jacent réside dans les autorisations accordées aux extensions. Ces autorisations, souvent excessives et manquant de granularité, permettent aux attaquants de les exploiter.
Que peuvent faire les organisations pour se protéger des risques liés aux extensions de navigateur sans en interdire complètement l’utilisation (une loi qui serait presque impossible à appliquer) ?
Un nouveau rapport de LayerX, « Dévoilement de la menace des extensions de navigateur malveillantes » (télécharger ici), fournit des informations détaillées sur le paysage des menaces liées aux extensions de navigateur malveillantes, tout en proposant des recommandations pour les atténuer.
Le rapport décortique le domaine des extensions malveillantes, en se concentrant sur plusieurs aspects clés :
- Types d’extensions malveillantes
- Installation – Comment les extensions malveillantes accèdent aux navigateurs des utilisateurs
- Quels sont les indicateurs d’extensions potentiellement malveillantes
- Les autorisations critiques qui peuvent être utilisées à mauvais escient par des extensions malveillantes
- Le vecteur d’attaque des extensions de navigateur
- Méthodes d’atténuation
Examinons quelques-unes des principales conclusions du rapport. Le le rapport complet peut être consulté ici.
Les 3 types d’extensions malveillantes
Les extensions malveillantes peuvent être classées en trois groupes principaux :
1. Extensions initialement malveillantes – Il s’agit d’extensions délibérément créées par des acteurs malveillants. Ces extensions pourraient être téléchargées sur des boutiques en ligne ou hébergées sur l’infrastructure de l’attaquant.
2. Extensions compromises – Extensions initialement légitimes qui sont soit directement achetées par des adversaires, soit compromises par l’attaquant et utilisées pour des activités malveillantes.
3. Extensions risquées – Il s’agit d’extensions légitimes qui, même si elles n’ont pas été initialement créées dans une intention malveillante, disposent d’autorisations excessives pouvant présenter un risque de sécurité.
Comment et pourquoi les extensions sont installées sur le navigateur
Les extensions malveillantes peuvent infiltrer le navigateur d’une victime par diverses méthodes, chacune avec son propre ensemble de considérations de sécurité :
1. Installation administrateur – Extensions distribuées de manière centralisée par les administrateurs réseau, souvent avec l’approbation explicite de l’organisation.
La question cruciale en matière de sécurité est ici de savoir si ces extensions sont vraiment nécessaires au sein du réseau d’entreprise et si elles présentent des risques de sécurité. Il est essentiel d’évaluer soigneusement la nécessité de telles extensions et leur impact potentiel sur la sécurité du réseau.
2. Installation normale – Extensions que les utilisateurs téléchargent depuis les magasins de navigateurs officiels en visitant la liste d’une extension. Cette approche permet aux utilisateurs de faire des choix indépendants concernant les extensions à installer.
Si cela offre de la flexibilité, cette approche soulève la question de sécurité des risques potentiels liés aux choix des salariés. Évaluer la popularité et la sécurité de ces extensions auprès du personnel est essentiel pour maintenir un environnement de navigation sécurisé.
3. Installation du développeur – Extensions chargées depuis les ordinateurs locaux des employés. Étant donné que ces extensions proviennent des postes de travail des employés, elles contournent le processus habituel de vérification des logiciels installés.
Il est crucial d’examiner les implications en matière de sécurité du fait de permettre aux employés de charger des fichiers d’extension décompressés directement depuis leurs machines afin de prévenir les risques potentiels.
4. Installation à chargement latéral – Cette méthode implique des applications tierces, telles qu’Adobe ou d’autres fournisseurs de logiciels, installant des extensions. Malheureusement, il s’agit de l’option la moins sécurisée, car elle peut être facilement exploitée par des adversaires pour installer des extensions malveillantes à l’insu de l’utilisateur.
Évaluer la manière dont ces applications interagissent avec les navigateurs ainsi que l’accès et les autorisations qu’elles accordent aux extensions est essentiel pour atténuer les risques de sécurité.
LayerX a identifié la répartition suivante des types d’installation en fonction de ses données utilisateur. Comme on peut le constater, la majorité, soit 81 % des extensions, sont installées par des utilisateurs téléchargeant depuis les magasins de navigateurs officiels.
Indicateurs d’extensions potentiellement malveillantes
Étant donné la grande popularité des utilisateurs qui téléchargent eux-mêmes des extensions, il est important de faire preuve de prudence et de former les employés pour identifier les extensions potentiellement malveillantes. Certains des principaux indicateurs comprennent :
- Adresse et emaill – L’absence de l’adresse de contact ou de l’adresse e-mail d’un développeur dans la liste du Chrome Web Store soulève des inquiétudes quant au manque de responsabilité. Il est essentiel de savoir qui se cache derrière l’extension.
- Dernière mise à jour – La fréquence des mises à jour reflète les risques potentiels de sécurité et de compatibilité. Les extensions obsolètes peuvent être plus vulnérables aux menaces de sécurité et peuvent ne pas fonctionner correctement avec les dernières versions du navigateur.
- politique de confidentialité – L’absence de politique de confidentialité dans la liste du Web Store pourrait indiquer des problèmes potentiels liés à la manière dont l’extension gère les données utilisateur et la confidentialité. Les extensions fiables sont transparentes sur leurs pratiques en matière de données.
- Notation – Les évaluations des utilisateurs fournissent un aperçu de la qualité globale d’une extension et de la satisfaction des utilisateurs. Des notes plus élevées indiquent souvent une extension plus sûre et plus fiable.
- Évaluation des utilisateurs – Le nombre d’évaluations des utilisateurs compte également. Plus de notes signifient généralement une base d’utilisateurs plus large et un risque moindre de rencontrer des problèmes ou des problèmes de sécurité.
- Site d’assistance – La présence d’un site de support associé à l’extension sur le Web Store permet aux utilisateurs de demander de l’aide. Un manque d’informations d’assistance peut être un signal d’alarme.
- Nombre d’utilisateurs – Les extensions largement utilisées sont généralement des choix plus sûrs. Un faible nombre d’utilisateurs peut avoir un impact sur le support et suggérer une fiabilité moindre.
- Site web – L’existence d’un site officiel associé à l’extension peut fournir des informations et des ressources supplémentaires. L’absence de site Web peut signifier un manque de transparence ou de documentation supplémentaire.
- Magasins non officiels – Si une extension n’est disponible dans aucune boutique de navigateur officielle (par exemple, Chrome Web Store), cela peut constituer un risque potentiel. Les magasins officiels disposent d’un certain niveau de vérification et de contrôles de sécurité.
- Types d’installation peu courants – Les extensions qui utilisent des méthodes d’installation inhabituelles comme le chargement latéral ou le mode développeur doivent être abordées avec prudence. Ces méthodes peuvent contourner les mesures de sécurité et augmenter le risque de malware.
- Promotion gratuite – Les extensions présentées comme gratuites d’une manière qui n’a pas de sens sur le plan financier, par exemple via des publicités payantes, pourraient être le signe d’une activité suspecte. Réfléchissez aux raisons pour lesquelles une extension est proposée gratuitement et si elle peut avoir des motivations cachées.
Le rapport lui-même contient des informations supplémentaires qui sont incontournables pour tout professionnel de la sécurité ou de l’informatique. Cela inclut les autorisations d’extension de navigateur risquées à surveiller, le vecteur d’attaque des extensions de navigateur, les techniques d’atténuation, etc. La cybersécurité consiste à reconnaître, à s’adapter et à répondre à l’évolution des menaces, et les extensions de navigateur malveillantes exigent aujourd’hui notre attention.
Pour lire l’intégralité du rapport, Cliquez ici.