Piratage avec la synchronisation de Google Chrome

Les fonctions de synchronisation de Google Chrome détournées par des pirates

A la base, une extension de synchronisation pour Google Chrome a été écrite par Dean Oemcke pour permettre à un utilisateur de Google Chrome, de pouvoir synchroniser ses favoris, son historique de navigation, ses mots de passe et certains paramètres du navigateur, avec les serveurs de Google. Cela afin de pouvoir retrouver toutes ces informations en cas d’utilisation de Google Chrome sur un autre appareil.

En juin 2020, Dean Oemcke a vendu son extension de synchronisation, sans le savoir, a des pirates informatiques qui ont donc récupérés le code source pour le détourner de son usage d’origine et ont ainsi placé dedans leurs instructions malveillantes permettant de récupérer des données sur un ordinateur.

Les pirates informatiques ont sortis ensuite 2 versions malveillantes de cette extension malveillante :

  • la version 7.1.8
  • et la version 7.1.9.

C’est Bojan Zdrnja, directeur des nouvelles technologies de la société de cybersécurité Infogo IS, installée en Croatie, qui a détecté que la fausse extension Forcepoint Endpoint Chrome Extension for Windows contenait le code malveillant exploitant le fichier manifest.json utilisé par Google Chrome :

Contournement de la sécurité Chrome Web Store

Google a mis en place différentes sécurités pour éviter que des applications malveillantes ne soient téléchargeables depuis son Web Store et des centaines sont ainsi rejetées chaque année. Mais les pirates ont réussi à contourner le système par un stratagème particulièrement poussé.

La fausse extension Forcepoint Endpoint Chrome Extension for Windows

L’extension malveillante se présentait sous le nom « Forcepoint Endpoint Chrome Extension for Windows » en prenant le nom et le logo d’une vraie société, la société Forcepoint, totalement étrangère à la malversation de cette extension. En se faisant passer pour la société Forcepoint, les pirates pensaient ainsi faire paraître l’extension Forcepoint Endpoint Chrome Extension for Windows, fiable et légitime.

Les pirates avaient certainement pour objectif de récupérer des informations sensibles à l’aide de cette fausse extension pour Google Chrome. En effet, aujourd’hui, beaucoup d’entreprises se servent d’un navigateur web pour différentes tâches réalisées sur internet :

  • gérer le personnel et les bulletins de salaire
  • effectuer la gestion commerciale
  • établir devis et factures
  • consulter leur comptabilité…

Cette extension malveillante, qui permettait la fuite des données sensibles, pouvait entraîner de lourdes conséquences pour les entreprises qui en auraient été victimes.

Extrait du code de l’extension malveillante :

Comment se protéger contre la fausse extension Forcepoint EndPoint Chrome Extension for Windows

Olivier Informaticien vous propose des prestations en cybersécurité pour vous accompagner dans la neutralisation des menaces liées au web.

A ce jour, l’extension a été téléchargée par plus de 2 millions de personnes avant d’être supprimée de son Web Store par Google.

N’hésitez pas à faire appel à nos compétences en cybersécurité en contactant Olivier Informaticien au 09.53.54.70.00