Les cordonniers sont souvent les plus mal chaussés comme le montre les découvertes d’un ingénieur logiciel de Symantec, Yaunjing Guo sur certaines extensions d’éditeur de sécurité pour Chrome. Il pointe notamment du doigt DualSafe Password Manager et l’extension Avast Online Security & Privacy. Selon lui, elles exposent des informations par le biais de connexions HTTP non sécurisées et des identifiants codés en dur. Parmi ces derniers, on retrouve des clés API, des secrets ou des jetons intégrés dans le JavaScript de l’add-on.

Cet incident met en évidence une lacune critique dans la sécurité des extensions : même les extensions Chrome les plus populaires peuvent mettre les utilisateurs en danger si les développeurs ne sont pas assez vigilants », a déclaré Patrick Tiquet, vice-président de la sécurité et de l'architecture chez Keeper Security. « Transmettre des données par HTTP non chiffré et coder les secrets en dur exposait les utilisateurs à des attaques de profilage, d'hameçonnage et à des attaques  de type Adversary-in-the-Middle, en particulier sur les réseaux non sécurisés. »

Un lien HTTP non sécurisé sur la sellette

La transmission de données sensibles par HTTP simple (non chiffré) expose en clair les domaines de navigation, les identifiants des machines, les détails du système d'exploitation, les analyses d'utilisation et les informations de désinstallation. « Comme le trafic n'est pas chiffré, un attaquant MITM (Man-in-the-Middle) sur le même réseau peut intercepter et, dans certains cas, même modifier ces données, ce qui conduit à des scénarios bien plus dangereux qu'une simple écoute clandestine », a expliqué M. Guo. Parmi les extensions mentionnées par l’expert de Symantec, SEMRush Rank et PI Rank transmettent les domaines de navigation complets des utilisateurs en clair à rank.trellian.com, exposant ainsi leur activité sur le web. De son côté, MSN New Tab/Homepage envoie un identifiant machine persistant, la version du système d'exploitation et celle de l'extension à l'aide d'une requête SendPingDetails non chiffrée, des données qui peuvent être utilisées pour suivre les utilisateurs d'une session à l'autre.

De plus, même si DualSafe Password Manager ne divulgue pas les mots de passe, il envoie des données analytiques telles que la langue et la version du navigateur à stats.itopupdate.com via HTTP. « Nous avions l'habitude d'appeler ces (extensions) BHO (browser helper objects) et c'était un moyen très répandu de compromettre les navigateurs pour diverses raisons, allant du vol d'informations d'identification et de l'espionnage des utilisateurs, à la mise en place de méthodes d'identification et de suivi des utilisateurs de manière très unique sur Internet », a déclaré Trey Ford, CISO de BugCrowd. « En fin de compte, cela peut se manifester sous la forme d'un malware et offrir de manière certaine une autre surface d'attaque aux malfaiteurs afin d'attaquer et de compromettre une expérience de navigation très sécurisée ». L'installation d'une protection adéquate des points de terminaison, le blocage des extensions provenant de sites inconnus, la surveillance des autorisations d'extension et la sauvegarde fréquente des données peuvent, entre autres, atténuer des exploits ciblant ces expositions.

Des informations d'identifiants codées en dur

Yaunjing Guo a ajouté que les informations d'identification codées en dur, telles que les clés API, les secrets et les jetons, sont exposées dans le JavaScript d'extensions populaires, ce qui les rend accessibles à toute personne qui inspecte le code source de l'extension. Par exemple, celles d’Avast Online Security and Privacy et AVG Online Security, destinées à la confidentialité et à la sécurité de la navigation, contiennent toutes deux des secrets d'API Google Analytics 4 (GA4) codés en dur. Un pirate découvrant ces secrets pourrait les utiliser pour envoyer des données frauduleuses au point de terminaison GA4.

D'autres extensions comme Awesome Screen Recorder & Screenshot et Scrolling Screenshot Tool & Screen Capture révèlent des clés d'accès à AWS S3 dans leur code. « Le codage en dur des clés et secrets d'API directement dans JavaScript rend ces informations d'identification facilement accessibles aux attaquants », a également reconnu Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security. « Ils peuvent exploiter ces clés de manière malveillante, notamment en gonflant les coûts des API, en hébergeant des contenus illicites ou en répliquant des transactions sensibles, telles que les commandes de crypto-monnaies. » Microsoft Editor, une extension d'édition alimentée par l'IA pour Chrome et Edge, expose aussi la clé de télémétrie StatsApiKey, qui peut être exploitée pour générer de fausses données analytiques, ce qui pourrait perturber les processus de collecte et d'analyse des données de Microsoft.