scroll

Des extensions Chrome malveillantes se font passer pour des outils d'IA afin de voler des données personnelles

Sommaire

Introduction

Des dizaines de milliers d’utilisateurs d’extensions Chrome ont récemment été victimes d’une campagne malveillante exploitant la crédulité du public vis-à-vis des outils d’intelligence artificielle. Se faisant passer pour des utilitaires liés à ChatGPT ou à d’autres IA populaires, ces extensions volaient des identifiants de session et des emails. Le rapport de Bleeping Computer dévoile cette nouvelle menace et montre comment les pirates utilisent la popularité de l’IA pour pénétrer l’environnement navigateur des internautes.

Des extensions IA frauduleuses sur le Chrome Web Store

Identifiées en janvier 2024, plusieurs extensions prétendant offrir des fonctionnalités d’IA avancées, comme des intégrations de ChatGPT dans Chrome, abritaient en réalité un logiciel espion. Parmi elles, "ChatGPT For Google" devait améliorer les résultats de recherche avec des réponses IA mais injectait du code pour extraire les cookies et données de session de Facebook. Au total, des extensions infectées ont été téléchargées plus de 300 000 fois.

Comment ces extensions volaient les données

Les extensions malveillantes fonctionnaient sur un modèle simple mais efficace. Une fois installée, l’extension chargeait dynamiquement un script distant qui permettait d’intercepter des cookies de connexion, notamment ceux de Facebook. Ces cookies permettaient ensuite aux attaquants d’usurper l’identité de l’utilisateur et d'accéder à ses messages privés, groupes et pages professionnelles.

Le code contenait également une logique conditionnelle : il n’activait ses fonctions d’espionnage qu’une fois les conditions réunies, ce qui compliquait sa détection par Google lors d’un premier audit de la soumission sur le Chrome Web Store.

Impact et portée de l’attaque

Les chercheurs de Guardio Labs indiquent que les extensions piégées ont permis aux hackers de récupérer de nombreuses informations personnelles. En se connectant furtivement sur les comptes Facebook, les auteurs de l’attaque pouvaient accéder aux profils de pages de marque, aux données d’audience et potentiellement gérer des campagnes publicitaires. Cette attaque soulève un enjeu fort de cybersécurité, notamment pour les professionnels du digital qui gèrent leurs activités via des outils connectés et des navigateurs web.

Une des extensions, publiée en février 2024, a été téléchargée plus de 200 000 fois en quelques jours avant d’être retirée.

Mesures de sécurité et prévention

Pour se prémunir contre ce type d’attaques, les experts recommandent plusieurs bonnes pratiques :

  • Vérifier les permissions demandées par une extension Chrome avant de l’installer.
  • Éviter de télécharger des extensions peu connues, même si elles prétendent être liées à des outils populaires comme ChatGPT.
  • Maintenir des solutions antivirus et antimalware à jour.
  • Utiliser l’authentification à deux facteurs, notamment pour les comptes sensibles comme Facebook ou Google.

Les utilisateurs professionnels doivent envisager d’utiliser des outils d’administration centralisée pour gérer les extensions sur leur parc informatique.

Le rôle de Google et du Chrome Web Store

Cette attaque met de nouveau en lumière les failles du Chrome Web Store de Google. Bien que la firme de Mountain View dispose de systèmes d’analyse automatisés pour détecter les comportements malveillants, ce système reste perfectible : les hackers contournent efficacement la modération en retardant l’exécution de scripts hostiles jusqu'après validation de l’extension.

Suite à l’alerte lancée par Guardio Labs, Google a retiré certaines des extensions frauduleuses. Cependant, la facilité avec laquelle ces extensions ont été publiées et popularisées démontre l’importance de mécanismes de vérification manuelle et communautaire.

Conclusion

Les cybercriminels exploitent l’intérêt grandissant du public pour les outils d’intelligence artificielle afin d’implanter des logiciels espions dans les navigateurs. À travers de fausses extensions Chrome, ces hackers peuvent voler des informations sensibles et accéder à des comptes professionnels comme Facebook Business. Cette menace souligne le besoin crucial de vigilance numérique pour les utilisateurs et les marketeurs, ainsi que d’un renforcement des contrôles du côté des marketplaces officielles comme le Chrome Web Store.

L’intérêt pour les IA va continuer de croître en 2024, et avec lui viendront des menaces encore plus sophistiquées. Une bonne hygiène numérique et une veille cybersécurité active deviendront indispensables pour tous les professionnels du numérique.

Thématique : Cybersécurité

Sujet principal : Extensions Chrome malveillantes liées à l'IA utilisées pour du vol de données

Source : https://www.bleepingcomputer.com/news/security/fake-ai-chrome-extensions-with-300k-users-steal-credentials-emails/