Les fêtes de fin d'année sont souvent synonymes de joie et de partage, mais elles représentent également une période particulièrement propice aux cyberattaques. Alors que des millions d'internautes fêtaient 2024, une vague de cybercriminalité a frappé, laissant des centaines de milliers d'utilisateurs en danger. Des hackers ont vite tiré profit de la situation calme pour lancer des attaques coordonnées, utilisant des méthodes sophistiquées telles qu'une campagne de phishing ciblée. Cette attaque a permis aux malfaiteurs d'accéder à des comptes administratifs et de publier des versions infectées de plusieurs extensions Chrome populaires sur le Chrome Web Store.

La société Cyberhaven, spécialisée dans la protection des données, fait partie des victimes de cette attaque. Le 24 décembre au soir, une version compromise de leur extension a été mise en ligne, provoquant une inquiétude immédiate. Les équipes de sécurité ont mis près d'une journée entière à découvrir cette intrusion, et il a fallu 60 minutes supplémentaires pour retirer le malware (version 24.10.4) et le remplacer par une version sécurisée (24.10.5). Au petit matin du 26 décembre, la situation semblait contrôlée, mais les répercussions demeurent.

Il a été révélé que cette attaque n'était pas un incident isolé. Les hackers, à l'origine de cette opération, ont exploité une faille de sécurité en intimidant un employé de Cyberhaven pour qu'il divulgue ses identifiants d'accès au Chrome Web Store. D'après les experts, le risque concerne en particulier les utilisateurs de navigateurs Chromium ayant l'option de mise à jour automatique activée.

Les conséquences de cette cyberattaque sont dramatiques. Selon John Tuckner, chercheur chez Secure Annex, l’extension compromise, qui avait déjà enregistré plus de 400 000 installations, contenait du code malveillant capable d'exfiltrer les sessions authentifiées et des cookies vers des serveurs distants. Des entreprises de renom comme Snowflake, Motorola, Canon et Reddit auraient pu être touchées.

Ayant pris en charge l'enquête, Jaime Blasco de Nudge Security a pu établir qu'il y avait d'autres victimes potentielles, et a même identifié le même code malveillant dans quatre autres extensions : Internxt VPN, VPNCity, Uvoice et ParrotTalks. Au total, ces extensions cumulées comptent elles aussi des centaines de milliers d'installations. Les chercheurs ont également trouvé d'autres extensions, telles que Bookmark Favicon Changer et Search Copilot AI Assistant, parmi celles encore infectées à ce jour.

Que faire si vous êtes utilisateur de ces extensions compromises ? La première étape est de vérifier si vous avez mis à jour vos extensions après le 31 décembre. Si ce n’est pas le cas, désinstallez-les immédiatement ! N’oubliez pas de réinitialiser vos paramètres de navigateur, de supprimer les cookies et de changer tous vos mots de passe. Activez l'authentification à deux facteurs (A2F) et utilisez des clés d'accès si possible. Un gestionnaire de mots de passe sécurisé peut également s'avérer utile.

Pour prévenir de futures attaques, il est conseillé de limiter le nombre d'extensions installées. Ne téléchargez que celles provenant de développeurs fiables et attentifs aux problèmes de sécurité. Gardez un œil sur les permissions que chaque extension requiert et soyez vigilant : un gestionnaire de captcha n'a pas besoin d'accéder à votre microphone ou votre position GPS. Enfin, je vous recommande fortement d'installer un antivirus réputé pour détecter rapidement d'éventuelles menaces et atténuer les risques de tels incidents à l'avenir.