Nouvelles menaces : Les extensions de navigateur malveillantes révélées

La compromission du navigateur est une cible à haut rendement pour les adversaires. Les extensions de navigateur, qui sont de petits modules logiciels ajoutés au navigateur et qui peuvent améliorer l’expérience de navigation, sont devenues un vecteur d’attaque populaire du navigateur. En effet, elles sont largement adoptées par les utilisateurs et peuvent facilement devenir malveillantes à la suite d’actions des développeurs ou d’attaques contre des extensions légitimes.

Des incidents récents tels que DataSpii et l’attaque du logiciel malveillant Nigelthorn ont révélé l’étendue des dommages que les extensions malveillantes peuvent infliger. Dans les deux cas, les utilisateurs ont installé en toute innocence des extensions qui ont compromis leur vie privée et leur sécurité. Le problème sous-jacent réside dans les autorisations accordées aux extensions. Ces permissions, souvent excessives et manquant de granularité, permettent aux attaquants de les exploiter.

Que peuvent faire les organisations pour se protéger des risques liés aux extensions de navigateur sans en interdire totalement l’utilisation (une mesure qu’il serait pratiquement impossible de faire respecter) ?

Un nouveau rapport de LayerX, intitulé « Unveiling the Threat of Malicious Browser Extensions » (télécharger ici), fournit des informations détaillées sur les menaces liées aux extensions de navigateur malveillantes, tout en proposant des recommandations pour les atténuer.

Le rapport dissèque le domaine des extensions malveillantes en se concentrant sur plusieurs aspects clés :
Nous allons nous pencher sur quelques-unes des principales conclusions du rapport. L’intégralité du rapport est disponible ici.
Les extensions malveillantes peuvent être classées en trois catégories principales :

1. Extensions malveillantes initiales – Il s’agit d’extensions créées à dessein par des acteurs malveillants. Ces extensions peuvent être téléchargées sur des boutiques en ligne ou hébergées sur l’infrastructure de l’attaquant.
2. Extensions compromises – Il s’agit d’extensions initialement légitimes qui sont soit achetées directement par des adversaires, soit compromises par l’attaquant et utilisées pour des activités malveillantes.
3. Extensions à risque – Il s’agit d’extensions légitimes qui, bien qu’elles n’aient pas été créées à l’origine dans un but malveillant, disposent d’autorisations excessives qui peuvent présenter un risque pour la sécurité.

Une extension malveillante peut s’infiltrer dans le navigateur d’une victime par le biais de différentes méthodes, chacune d’entre elles comportant son propre ensemble de considérations en matière de sécurité :

1 Installation par l’administrateur – Les extensions distribuées de manière centralisée par les administrateurs de réseau, souvent avec l’approbation explicite de l’organisation… La question cruciale en matière de sécurité est de savoir si ces extensions sont vraiment nécessaires au sein du réseau de l’entreprise et si elles présentent des risques pour la sécurité Il est essentiel d’évaluer soigneusement la nécessité de ces extensions et leur impact potentiel sur la sécurité du réseau…

2 Installation normale – Extension que les utilisateurs téléchargent à partir des boutiques officielles du navigateur en visitant la liste des extensions Cette approche permet aux utilisateurs de choisir indépendamment l’extension qu’ils souhaitent installer. Bien qu’elle offre une certaine souplesse, cette approche soulève la question des risques potentiels associés aux choix des employés. Il est essentiel d’évaluer la popularité et la sécurité de ces extensions parmi le personnel afin de maintenir un environnement de navigation sécurisé…

3 Installation par le développeur – Extension chargée à partir des ordinateurs locaux des employés Comme ces extensions proviennent des postes de travail des employés, elles contournent le processus habituel de vérification des logiciels installés Il est essentiel d’examiner les implications en matière de sécurité de l’autorisation donnée aux employés de charger des fichiers d’extension non comprimés directement à partir de leurs ordinateurs afin d’éviter les risques potentiels….

4 Installation Sideload – Cette méthode implique des applications tierces telles qu’Adobe ou d’autres fournisseurs de logiciels qui installent des extensions Malheureusement, il s’agit de l’option la moins sûre car elle peut être facilement exploitée par des adversaires pour installer des extensions malveillantes à l’insu de l’utilisateur L’évaluation de la manière dont ces applications interagissent avec les navigateurs et l’accès et les autorisations qu’elles accordent aux extensions sont essentiels pour atténuer les risques de sécurité LayerX a identifié la répartition suivante des types d’installation sur la base de ses données utilisateur Comme on peut l’observer, la majorité81% des extensions sont téléchargées par l’utilisateur lui-même, il est important de faire preuve de prudence et de former les employés à identifier les extensions potentiellement malveillantes. Voici quelques-uns des principaux indicateurs :

Le rapport lui-même contient des informations supplémentaires que tout professionnel de la sécurité ou de l’informatique se doit de lire. Ces informations portent notamment sur les autorisations d’extension de navigateur à risque, le vecteur d’attaque des extensions de navigateur, les techniques d’atténuation et bien d’autres choses encore. La cybersécurité consiste à reconnaître les menaces changeantes, à s’y adapter et à y répondre, et les extensions de navigateur malveillantes requièrent notre attention aujourd’hui.

Pour lire l’intégralité du rapport, cliquez ici.

 

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.

Partager:

Les dernières actualités :