{"id":19444,"date":"2022-09-21T16:03:32","date_gmt":"2022-09-21T14:03:32","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19444"},"modified":"2022-09-28T11:52:15","modified_gmt":"2022-09-28T09:52:15","slug":"dangers-of-browser-extensions","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/dangers-of-browser-extensions\/19444\/","title":{"rendered":"Les extensions de navigateur sont plus dangereuses qu’il n’y para\u00eet"},"content":{"rendered":"

Nous avons tous d\u00e9j\u00e0 install\u00e9 une extension de navigateur : bloqueur de pubs, traducteur en ligne, correcteur d\u2019orthographe ou autre. Pourtant, peu de personnes prennent le temps de se demander si c\u2019est dangereux. Malheureusement, ces mini-applications innocentes peuvent s\u2019av\u00e9rer beaucoup plus dangereuses que ce que l\u2019on pourrait croire. Voyons quelles pourraient \u00eatre les probl\u00e8mes. Pour ce faire, nous allons prendre comme r\u00e9f\u00e9rence le rapport<\/a> que nos experts ont r\u00e9cemment publi\u00e9 sur les groupes d\u2019extensions malveillantes de navigateur les plus courants.<\/p>\n

Qu\u2019est-ce qu\u2019une extension et \u00e0 quoi sert-elle ?<\/h2>\n

Commen\u00e7ons par d\u00e9finir de quoi il s\u2019agit et identifions l\u2019origine du probl\u00e8me. Une extension de navigateur est un plug-in qui ajoute une nouvelle fonctionnalit\u00e9 \u00e0 votre navigateur. Par exemple, l\u2019extension peut bloquer les publicit\u00e9s d\u2019un site Web, cr\u00e9er des notes, v\u00e9rifier l\u2019orthographe, etc. Pour les navigateurs les plus connus, il existe des boutiques officielles d\u2019extensions qui vous aident \u00e0 choisir, comparer et installer les plug-ins souhait\u00e9s. Pourtant, les extensions peuvent aussi \u00eatre install\u00e9es \u00e0 partir de sources non officielles.<\/p>\n

Il convient de souligner que pour qu\u2019une extension fonctionne, elle doit pouvoir lire et modifier le contenu des sites que vous consultez dans le navigateur. Elle ne servira \u00e0 rien sans cet acc\u00e8s.<\/p>\n

Dans le cas de Google Chrome, les extensions doivent pouvoir lire et modifier toutes<\/strong> vos donn\u00e9es sur tous<\/strong>\u00a0les sites que vous visitez. Ce n\u2019est pas rien, n\u2019est-ce pas\u00a0? Pourtant, m\u00eame les boutiques officielles attirent peu l\u2019attention sur ce point.<\/p>\n

Par exemple, dans la boutique officielle Chrome Web Store, la cat\u00e9gorie Pratiques en mati\u00e8re de confidentialit\u00e9<\/em>\u00a0de la c\u00e9l\u00e8bre extension Google Traduction indique que l\u2019outil recueille les informations relatives \u00e0 la localisation, \u00e0 l\u2019activit\u00e9 de l\u2019utilisateur et au contenu du site Web. En revanche, rien n\u2019indique que l\u2019extension doit avoir acc\u00e8s \u00e0 toutes les donn\u00e9es de tous les sites afin de pouvoir fonctionner. L\u2019utilisateur ne le d\u00e9couvre qu\u2019au moment o\u00f9 il installe l\u2019extension.<\/p>\n

\u00a0<\/p>\n

L\u2019extension Google Traduction vous demande de l\u2019autoriser \u00e0 \u00a0\u00bb\u00a0Lire et modifier toutes vos donn\u00e9es sur tous les sites\u00a0\u00a0\u00bb que vous consultez.<\/p><\/div>\n

\u00a0<\/p>\n

Beaucoup d\u2019utilisateurs, sinon la plupart, ne prennent pas le temps de lire ce message et clique automatiquement sur Ajouter \u00e0 Chrome<\/em>\u00a0pour pouvoir utiliser le plug-in. Tout cette situation offre aux cybercriminels l\u2019opportunit\u00e9 de distribuer des adwares<\/a> ou des programmes malveillants<\/a> qui se font passer pour des extensions inoffensives.<\/p>\n

Quant aux extensions d\u2019un adware, le droit de modifier le contenu affich\u00e9 permet l\u2019affichage de publicit\u00e9s sur les sites que vous consultez. Dans ce cas, les cr\u00e9ateurs des extensions gagnent de l\u2019argent gr\u00e2ce aux utilisateurs qui cliquent sur les liens affili\u00e9s traqu\u00e9s qui ouvrent les sites des annonceurs. Afin d\u2019offrir un contenu publicitaire mieux cibl\u00e9, l\u2019extension peut aussi analyser vos recherches et d\u2019autres donn\u00e9es.<\/p>\n

Les choses sont encore pires lorsqu\u2019il s\u2019agit d\u2019extensions malveillantes. L\u2019acc\u00e8s au contenu de tous les sites visit\u00e9s permet aux cybercriminels de voler les informations de vos cartes bancaires<\/a>, des cookies et d\u2019autres informations sensibles<\/a>. Analysons quelques exemples.<\/p>\n

Des outils v\u00e9reux pour les fichiers Office<\/h2>\n

Ces derni\u00e8res ann\u00e9es, les cybercriminels ont activement distribu\u00e9 des extensions malveillantes adware WebSearch. Les extensions de ce groupe se pr\u00e9sentent g\u00e9n\u00e9ralement comme des outils pour les fichiers Office, par exemple pour convertir un fichier Word en PDF.<\/p>\n

Certains d\u2019entre eux remplissent m\u00eame leur fonction. Puis, une fois install\u00e9s, ils remplacent l\u2019habituelle page d\u2019accueil du navigateur par un mini-site avec une barre de recherche et des liens affili\u00e9s traqu\u00e9s qui ouvrent des ressources tierces, comme AliExpress ou Farfetch.<\/p>\n

\u00a0<\/p>\n

\"Page

Page d\u2019accueil du navigateur apr\u00e8s avoir t\u00e9l\u00e9charg\u00e9 une des extensions du groupe WebSearch<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

Une fois install\u00e9e, l\u2019extension modifie \u00e9galement le moteur de recherche par d\u00e9faut et s\u00e9lectionne search.myway. Cela permet aux cybercriminels d\u2019enregistrer et d\u2019analyser les recherches faites par l\u2019utilisateur et de lui proposer plus de liens pertinents selon ses int\u00e9r\u00eats.<\/p>\n

De nos jours, les extensions WebSearch ne sont plus disponibles dans la boutique officielle de Chrome, mais elles peuvent toujours \u00eatre t\u00e9l\u00e9charg\u00e9es \u00e0 partir de ressources tierces.<\/p>\n

L\u2019ajout d\u2019un adware qui va vous emb\u00eater<\/h2>\n

Les membres de DealPly, un autre groupe connu d\u2019extensions d\u2019adware, arrivent g\u00e9n\u00e9ralement \u00e0 se faufiler dans les ordinateurs des utilisateurs gr\u00e2ce au t\u00e9l\u00e9chargement de contenus pirat\u00e9s \u00e0 partir de sites douteux. Ils fonctionnent \u00e0 peu pr\u00e8s de la m\u00eame mani\u00e8re que les plug-ins WebSearch.<\/p>\n

Les extensions DealPly remplacent la page d\u2019accueil du navigateur et affichent un mini-site avec des liens associ\u00e9s qui redirigent l\u2019utilisateur vers de c\u00e9l\u00e8bres plateformes num\u00e9riques. Tout comme les extensions WebSearch, ces extensions modifient le moteur de recherche par d\u00e9faut et analysent les recherches faites par l\u2019utilisateur afin de cr\u00e9er des publicit\u00e9s plus personnalis\u00e9es.<\/p>\n

\u00a0<\/p>\n

\"Page

Page d\u2019accueil du navigateur apr\u00e8s avoir t\u00e9l\u00e9charg\u00e9 une des extensions du groupe DealPly<\/p><\/div>\n

\u00a0<\/strong><\/p>\n

De plus, il est extr\u00eamement difficile de se d\u00e9barrasser des membres du groupe DealPly. M\u00eame si l\u2019utilisateur supprime l\u2019extension de l\u2019adware, il se r\u00e9installe sur le dispositif chaque fois que l\u2019utilisateur ouvre le navigateur.<\/p>\n

AddScript installe des cookies ind\u00e9sirables<\/h2>\n

Les extensions du groupe AddScript se pr\u00e9sentent souvent comme des outils qui permettent de t\u00e9l\u00e9charger de la musique ou des vid\u00e9os des r\u00e9seaux sociaux, ou comme des gestionnaires de serveurs proxy. Pourtant, en plus de cette fonctionnalit\u00e9, ces extensions infectent l\u2019appareil de la victime gr\u00e2ce \u00e0 un code malveillant. Les cybercriminels se servent alors de ce code pour visionner les vid\u00e9os en arri\u00e8re-plan sans que l\u2019utilisateur ne le remarque, et gagne de l\u2019argent en augmentant le nombre de vues.<\/p>\n

Le t\u00e9l\u00e9chargement de cookies sur l\u2019appareil de la victime est une autre source de revenus pour les cybercriminels. De fa\u00e7on g\u00e9n\u00e9rale, les cookies sont conserv\u00e9s sur l\u2019appareil de l\u2019utilisateur lorsque ce dernier consulte un site et peuvent \u00eatre utilis\u00e9s comme marqueur num\u00e9rique. Dans une situation normale, les sites associ\u00e9s promettent \u00e0 l\u2019utilisateur qu\u2019il sera redirig\u00e9 vers un site l\u00e9gitime. Ils l\u2019attirent ainsi sur leur site qui, l\u00e0 encore, propose g\u00e9n\u00e9ralement un contenu int\u00e9ressant et pratique. Le cookie est conserv\u00e9 dans l\u2019ordinateur de l\u2019utilisateur puis envoy\u00e9 au site cible avec un lien. En utilisant ce cookie, le site sait d\u2019o\u00f9 vient le nouvel utilisateur et paie une commission \u00e0 l\u2019associ\u00e9. Parfois pour la redirection, d\u2019autres fois il s\u2019agit d\u2019un pourcentage sur les achats effectu\u00e9s, ou encore de la r\u00e9alisation d\u2019une action concr\u00e8te, comme la cr\u00e9ation d\u2019un compte.<\/p>\n

Les op\u00e9rateurs du groupe AddScript utilisent une extension malveillante pour profiter de ce syst\u00e8me. Au lieu d\u2019envoyer les visiteurs du vrai site vers las associ\u00e9s, ils t\u00e9l\u00e9chargent plusieurs cookies sur l\u2019appareil infect\u00e9. Ces cookies sont des marqueurs pour le programme associ\u00e9 des escrocs, et les op\u00e9rateurs AddScript re\u00e7oivent une commission. En r\u00e9alit\u00e9, ils n\u2019attirent pas de nouveaux clients, et l\u2019activit\u00e9 de leurs \u00ab\u00a0associ\u00e9s\u00a0\u00bb consiste \u00e0 infecter les ordinateurs avec ces extensions malveillantes.<\/p>\n

FB Stealer, un voleur de cookies<\/h2>\n

FB Stealer, un autre groupe d\u2019extensions malveillantes, fonctionne diff\u00e9remment. Contrairement \u00e0 AddScript, les membres de ce groupe ne t\u00e9l\u00e9chargent aucun \u00ab\u00a0extra\u00a0\u00bb sur l\u2019appareil mais volent les cookies importants. Voici son fonctionnement.<\/p>\n

L\u2019extension FB Stealer se faufile dans les appareils des utilisateurs avec le cheval de Troie NullMixer, que les victimes attrapent g\u00e9n\u00e9ralement en essayant de t\u00e9l\u00e9charger la version pirat\u00e9e d\u2019un logiciel. Une fois install\u00e9, le cheval de Troie modifie le fichier utilis\u00e9 pour conserver les param\u00e8tres du navigateur Chrome, dont les informations relatives aux extensions.<\/p>\n

Ensuite, une fois l\u2019extension activ\u00e9e, FB Stealer se fait passer pour l\u2019extension Google Traduction pour que les utilisateurs ne se m\u00e9fient pas. L\u2019extension est tr\u00e8s convaincante. Le seul inconv\u00e9nient que les cybercriminels rencontrent est que le navigateur avertit qu\u2019il n\u2019y a aucune information sur cette extension dans la boutique officielle.<\/p>\n

\u00a0<\/p>\n

\"Le

Le navigateur avertit que la boutique officielle ne poss\u00e8de aucun renseignement sur cette extension<\/p><\/div>\n

\u00a0<\/p>\n

Les membres de ce groupe remplacent le moteur de recherche par d\u00e9faut du navigateur, mais ce n\u2019est pas la chose la plus dangereuse que cette extension peut faire. Le principal objectif de FB Stealer est de voler les cookies de session des utilisateurs du r\u00e9seau social le plus grand au monde, d\u2019o\u00f9 son nom. Ce sont les cookies qui vous \u00e9vitent de devoir saisir vos identifiants \u00e0 chaque fois que vous ouvrez le site, et ils permettent aussi aux cybercriminels d\u2019entrer sans avoir besoin du mot de passe. Apr\u00e8s avoir pirat\u00e9 le compte de cette fa\u00e7on, ils peuvent, par exemple, envoyer un message aux amis et aux proches de la victime et leur demander de l\u2019argent.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Les extensions de navigateur sont des outils utiles, mais il convient de les utiliser prudemment et de ne pas oublier qu\u2019elles ne sont pas aussi inoffensives qu\u2019il n\u2019y para\u00eet. Ainsi, nous vous conseillons d\u2019adopter les mesures de s\u00e9curit\u00e9 suivantes\u00a0:<\/p>\n