Chrome, Firefox : des extensions malveillantes et une suppression parfois complexe
Mieux vaut définitivement prévenir que guérir
Le 22 janvier 2018 à 16h52
8 min
Logiciel
Logiciel
Un chercheur a récemment tiré la sonnette d’alarme : on trouve sur Chrome des extensions au comportement particulièrement dangereux, résistantes aux tentatives de désinstallation. Un problème qui rappelle que les extensions nécessitent presque la même surveillance que les applications classiques.
La sécurité des extensions n’est pas un sujet nouveau. Le principe même d’ajouter des fonctionnalités à un logiciel existant suppose la possibilité d’insérer des instructions malveillantes. Cependant, le périmètre d’action – et donc la capacité de nuisance – n’a eu de cesse de se réduire avec le temps.
Il s’agit d’une évolution globale de l’industrie logicielle : un jeu perpétuel du chat et de la souris, qui conduit les pirates à toujours plus d'ingéniosité et les éditeurs à blinder toujours plus leurs produits. C’est ainsi que les navigateurs ont abandonné d’anciens modèles pour tabler sur le standard WebExtensions du W3C. Dans la foulée, les anciens plug-ins comme Flash ou Silverlight ont presque tous été abandonnés (Flash reste notamment intégré dans Chrome et Edge).
Pourtant, le chercheur Pieter Arntz lance une piqure de rappel : même si elle a été fortement réduite, la capacité de nuisance des extensions existe bien, et il est toujours possible d’exploiter une faiblesse du navigateur.
Une extension tenace qui résiste aux désinstallations
Le chercheur, travaillant chez MalwareBytes, a publié jeudi dernier un billet de blog pour expliquer sa trouvaille : plusieurs extensions ayant toutes un comportement malveillant et se protégeant d’une désinstallation par différentes techniques. C’est, selon lui, surtout là l’aspect nouveau de la découverte.
Parmi ces extensions, l’une en particulier, nommée « Tiempo en colombia en vivo », s’est montrée particulièrement difficile à supprimer. Première défense, la redirection systématique de l’utilisateur vers une autre page quand il cherche à accéder à la liste des extensions installées. Plus précisément, l’adresse « chrome://extensions/ » est redirigée vers « chrome://apps/?r=extensions », d’où l’extension malveillante est absente. Si l’internaute n’est pas attentif à l’URL, il tombe dans le panneau.
Ce n’est qu’un cas parmi d’autres, dans un lot d’extensions qui ont toutes été signalées à Google. L’éditeur a confirmé qu’elles avaient été supprimées du catalogue, et que le « kill switch » avait été actionné, envoyant un signal de désinstallation à toutes les instances de Chrome concernées.
Chrome plus concerné que Firefox
Si le navigateur de Google est plus mis en avant que celui de Mozilla, c’est parce qu’il contient une faiblesse inhérente à son fonctionnement. Comme l’indique Arntz, la solution la plus évidente pour se débarrasser de l’extension serait de redémarrer Chrome en mode sans extensions, ce que l’on peut faire en ligne de commande avec l’opérateur « –disable-extensions ».
Chrome va effectivement se lancer en désactivant tous les modules tiers. Mais à la différence de Firefox qui liste quand même toutes les extensions installées (laisser Maj enfoncé pendant son démarrage), Chrome ne les affiche pas. Même dans ce mode, l’utilisateur ne peut donc toujours pas atteindre les modules malveillants pour les supprimer.
Seule solution, trouver le fichier JavaScript associé (dont le code est en grande partie masqué) et le renommer, car désactiver directement JavaScript n’est d’aucun secours. L’extension ne trouvant plus ledit fichier, Chrome affiche une alerte en rouge sous son nom, pour indiquer qu’elle a peut-être été corrompue. Auquel cas l’icône de la corbeille apparait sur la droite, rendant possible la suppression.
La vigilance des utilisateurs doit s’étendre aux extensions
Quelques jours avant ce billet de blog, d’autres chercheurs publiaient un rapport mentionnant quatre extensions Chrome malveillantes qui avaient totalisé plus de 500 000 installations. Sans que le chiffre soit immense rapporté au nombre d’internautes dans le monde, il était suffisamment significatif pour braquer à nouveau la lumière sur un phénomène peut-être trop souvent sous-estimé.
La centralisation des extensions via des boutiques rattachées à chaque navigateur limite sans doute la casse, chaque éditeur imposant des règles et vérifiant le fonctionnement du code tiers de façon plus ou moins approfondie. Mais les cas mentionnés prouvent qu’à l’instar des boutiques d’applications sur les plateformes mobiles, des extensions peuvent quand même passer à travers les mailles du filet. La plupart des éditeurs disposent donc un kill switch pour s’assurer qu’un code malveillant découvert après coup ne restera pas accroché aux machines infectées.
Bien entendu, dans l’intervalle, ledit code peut accomplir son méfait. Dans le cas de « Tiempo en colombia en vivo », elle a été signalée à Google le 29 décembre, mais n’a été supprimée que mercredi dernier (17 janvier). Pendant toute la durée de sa présence sur le Web Store, l’extension générait notamment des clics sur des vidéos YouTube. Le chercheur estime qu'elle avait donc au moins pour mission de faciliter la monétisation de certains contenus.
Par ailleurs, même ceux qui n’allaient pas la chercher pouvaient être abusés, puisque des sites utilisaient divers moyens pour convaincre l’utilisateur de l’installer, jusqu’à l’empêcher de quitter la page en affichant de multiples fenêtres.
L’utilisateur doit donc se méfier autant des sites qu’il visite que des extensions qu’il choisit d’installer, particulièrement quand il commence à fouiller du côté de développeurs peu connus. Cette activité malveillante est d’ailleurs dommageable pour ces derniers, puisque la méfiance des internautes se concentre tout particulièrement sur tout ce qui sort des sentiers battus. Quand l’identité des sources légitimes n’est pas carrément usurpée.
Rassurer les internautes pour mieux les piéger
Comme le rapporte Ars Technica, James Oppenheim gère le site JamesGames.com, consacré aux jeux pour enfants. Il n’édite de lui-même aucun code. Surprise, son nom est pourtant associé à au moins une extension malveillante : Play Red Ball version 4, depuis supprimée.
Son attention a été attirée quand un Indien nommé « Ganesh » lui a écrit un email lui proposant de racheter son extension. Estimant qu’il s’agissait de spam, il a supprimé le message. Mais Ganesh est revenu deux autres fois à la charge, son ton devenant plus pressant. Pris d’un doute, James Oppenheim entre en contact avec son interlocuteur, qui lui pointe alors la fiche de l’extension dans le Web Store de Chrome.
Surprise, cette dernière mentionne « James Extensions! » comme nom officiel de l’éditeur, ajoutant l’adresse de son propre site officiel comme moyen de contact. L’extension se présente comme un jeu et affiche une note de quatre étoiles sur cinq. Toutes les apparences d’un contenu sérieux et parfaitement authentique.
Et pourtant, de nombreux commentaires laissés par des internautes mentionnent clairement qu’il s’agit d’un malware. Il a donc contacté Google pour les avertir du problème, il y a environ deux semaines. Vendredi, quand Ars Technica a publié son article, l’extension était toujours en ligne. Aujourd’hui, l’adresse renvoie sur une erreur. Signe que la demande a enfin été prise en compte. La médiatisation du cas par nos confrères a pu également avoir une influence.
La pression sur les éditeurs
Dès lors qu’un éditeur choisit de rendre obligatoire une plateforme précise pour récupérer des contenus tiers, il fait face à des responsabilités. Le cas des extensions n’est pas différent de l’App Store d’Apple ou du Play Store de Google : le code publié doit être contrôlé, pour inciter l’utilisateur à ne se fier qu’à des sources de confiance.
De l’avis du chercheur Pieter Arntz, Chrome serait aujourd’hui le navigateur le plus sécurisé. Le cas de ces extensions est donc un rappel utile qu’aucun logiciel ne peut assurer une protection absolue : la menace évolue constamment, et ses multiples auteurs cherchent sans relâche la moindre faiblesse à exploiter.
Si la perfection ne peut évidemment pas être atteinte – à moins peut-être de tout verrouiller au point de rendre une solution presque inutilisable, et encore – rien n’empêche les éditeurs de s’adapter. Ars Technica a d’ailleurs posé plusieurs questions à Google, dont celle des intentions de l’entreprise pour mieux lutter contre ce phénomène, ou la possibilité de simplifier la désinstallation des extensions. La firme s’est cantonnée à l’exemple de Pieter Arntz, précisant que tout avait été nettoyé.
En attendant, la vigilance de l’internaute et des logiciels à jour restent la meilleure défense contre les menaces potentielles. Ce d’autant plus que, même si Chrome adopte un comportement similaire à Firefox, cela ne résoudra que la suppression a posteriori. Traduction, prévenir restera toujours plus efficace que guérir.
Le 22 janvier 2018 à 16h52
Chrome, Firefox : des extensions malveillantes et une suppression parfois complexe
-
Une extension tenace qui résiste aux désinstallations
-
Chrome plus concerné que Firefox
-
La vigilance des utilisateurs doit s’étendre aux extensions
-
Rassurer les internautes pour mieux les piéger
-
La pression sur les éditeurs
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 22/01/2018 à 17h47
#1
Chrome ne vérifie que très peu les extensions publiées sur son store. Ils attendent surtout les retours utilisateurs pour les supprimer.
La vérification de Mozilla commence par une validation automatique du script (Source disponible sur Github) puis une vérification manuelle.
La différence se sent tout de suite avec un temps de publication de moins de 5min chez Google contre 1 à 2 journées ouvrées chez Mozilla.
Le 22/01/2018 à 19h08
#2
Je ne sais pas si c’est toujours le cas, mais quand j’avais publié une extension, l’accès au Chrome Web Store était en plus payant (5€), quand addons.mozilla.org est intégralement gratuit.
Le 22/01/2018 à 19h13
#3
Cache Killer est également un malware apparemment, parti puis revenu sous un autre nom…
Le 22/01/2018 à 22h08
#4
J’ai publié des extensions pour les deux, c’était gratuit et effectué en moins d’une heure dans les deux cas.
Le 22/01/2018 à 22h18
#5
le « kill switch » avait été actionné, envoyant un signal de désinstallation à toutes les instances de Chrome concernées
Le problème des malwares cachés dans les extensions mis à part, ceci ne choque personne ?
Le 22/01/2018 à 23h16
#6
Bof, ça fait des années qu’ils font la même chose avec les apps vérolé sur Android.
Même si j’aime pas l’idée, ça reste mieux que de laisser infecter des millions d’appareils. Et le grand publique leur reprocherais de ne rien faire.
Le 22/01/2018 à 23h54
#7
Tu croyais que l’engouement des GAFA pour les AppStore c’était dans le but de simplifier la vie des utilisateurs en leur proposant un catalogue central d’applications ? Un peu comme une repository linux ?
Que nenni.
L’idée des AppStore c’est de créer un service d’accès aux applications. L’utilisateur est ainsi un consommateur du service GAFA et pas un utilisateur de logiciel téléchargé auprès d’un tiers. Le GAFA devient non seulement l’intermédiaire obligé entre utilisateurs et éditeurs, mais également un régulateur du marché (avec entre autre la possibilité de retirer une appli du marché).
Le 23/01/2018 à 09h33
#8
mouaih… je serai pas aussi tranché. Le kill switch a aussi une intéressante raison d’être… Faut voir :
1- comment c’est utilisé
2- comment l’utilisateur est prévenu
Ah, on me dit dans l’oreillette que le point 2, c’est trop compliqué pour monsieur Michu, qu’il n’y a qu’à faire confiance.
Le 23/01/2018 à 09h48
#9
Bizarrement, je préfère la méthode de Mozilla.
Le 23/01/2018 à 12h35
#10
Oui je comprends ça, mais s’ils sont en mesure de désinstaller des extensions à distance, qui sait ce qu’ils se permettent de faire d’autre à distance ?
Collecter des informations sur les utilisateurs est une chose, contrôler les logiciels à distance en est une autre.
Le 23/01/2018 à 13h13
#11
Les deux sont tout aussi nocives hein.
Le 23/01/2018 à 13h14
#12
Oui, je sais… Mais quand même.