
Mist: Éclaircissements sur le vol d'un million de dollars par une extension malveillante Chrome
TechFlow SélectionTechFlow Sélection

Mist: Éclaircissements sur le vol d'un million de dollars par une extension malveillante Chrome
La plateforme doit, tout en tenant compte de l'expérience utilisateur, veiller à protéger la sécurité des comptes et des actifs des utilisateurs.
Auteur : 23pds@équipe de sécurité SlowMist
Contexte
Le 3 juin 2024, l'utilisateur Twitter @CryptoNakamao a publié un message décrivant comment il avait perdu 1 million de dollars après avoir téléchargé une extension malveillante de Chrome appelée Aggr, attirant ainsi l'attention de la communauté cryptographique sur les risques liés aux extensions et suscitant des inquiétudes quant à la sécurité de leurs actifs numériques. Le 31 mai, l'équipe de sécurité SlowMist avait déjà publié un article intitulé « Un loup en peau de mouton | Analyse du vol par fausse extension Chrome », fournissant une analyse détaillée des méthodes employées par cette extension malveillante Aggr. Étant donné que de nombreux utilisateurs manquent de connaissances fondamentales sur les extensions de navigateur, 23pds, responsable principal de la sécurité chez SlowMist, répond ici à six questions essentielles afin d'expliquer les bases techniques des extensions, leurs risques potentiels et proposer des recommandations pour mieux se protéger. L’objectif est d’aider tant les utilisateurs individuels que les plateformes d’échange à renforcer la sécurité de leurs comptes et actifs.
https://x.com/im23pds/status/1797528115897626708
Questions-réponses
1. Qu’est-ce qu’une extension Chrome ?
Une extension Chrome (Chrome Extension) est un module complémentaire conçu pour le navigateur Google Chrome, permettant d’étendre ses fonctionnalités et son comportement. Ces extensions peuvent personnaliser l’expérience de navigation, ajouter de nouvelles fonctionnalités ou contenus, ou interagir avec les sites web. Elles sont généralement construites à partir de technologies web telles que HTML, CSS et JavaScript.
La structure typique d'une extension Chrome comprend généralement les éléments suivants :
-
manifest.json : fichier de configuration de l'extension, définissant des informations de base telles que le nom, la version, les permissions, etc.
-
Scripts d'arrière-plan (Background Scripts) : s'exécutent en arrière-plan dans le navigateur pour gérer les événements et les tâches prolongées.
-
Scripts de contenu (Content Scripts) : s'exécutent dans le contexte des pages web et peuvent interagir directement avec celles-ci.
-
Interface utilisateur (UI) : boutons dans la barre d'outils, fenêtres contextuelles, pages d'options, etc.
2. À quoi servent les extensions Chrome ?
-
Bloqueurs de publicités : ces extensions peuvent bloquer les annonces sur les pages web, améliorant ainsi la vitesse de chargement et l’expérience utilisateur. Exemples : AdBlock et uBlock Origin.
-
Confidentialité et sécurité : certaines extensions renforcent la vie privée et la sécurité, comme la protection contre le pistage, le chiffrement des communications ou la gestion des mots de passe. Exemples : Privacy Badger et LastPass.
-
Outils de productivité : elles aident à améliorer l’efficacité, par exemple en gérant les tâches, prenant des notes ou traquant le temps. Exemples : Todoist et Evernote Web Clipper.
-
Outils de développement : destinés aux développeurs web, ils permettent le débogage et l’analyse, comme inspecter la structure d’une page, déboguer du code ou analyser les requêtes réseau. Exemples : React Developer Tools et Postman.
-
Réseaux sociaux et messagerie : elles intègrent des outils de communication, facilitant la gestion des notifications ou messages pendant la navigation. Exemples : Grammarly et Facebook Messenger.
-
Personnalisation des pages web : permettent de modifier l’apparence et le comportement des sites, comme changer les thèmes, réorganiser les éléments ou ajouter des fonctions. Exemples : Stylish et Tampermonkey.
-
Automatisation de tâches : aident à automatiser des actions répétitives, comme remplir automatiquement des formulaires ou télécharger plusieurs fichiers. Exemples : iMacros et DownThemAll.
-
Traduction linguistique : traduisent automatiquement les contenus web, aidant à comprendre des pages dans d'autres langues. Exemple : Google Traduction.
-
Assistance cryptomonnaies : facilitent les opérations liées aux crypto-monnaies, comme MetaMask.
Grâce à leur flexibilité et diversité, les extensions Chrome peuvent être utilisées dans presque tous les scénarios de navigation, aidant les utilisateurs à accomplir efficacement diverses tâches.
3. Quelles permissions une extension Chrome obtient-elle après installation ?
Après installation, une extension Chrome peut demander plusieurs permissions afin d’exécuter certaines fonctions. Celles-ci sont déclarées dans le fichier manifest.json et présentées à l’utilisateur lors de l’installation. Les permissions courantes incluent :
-
<all_urls> : autorise l’accès au contenu de tous les sites web. Il s’agit d’une permission très étendue, permettant de lire et modifier les données de n’importe quel site.
-
tabs : permet d’accéder aux informations des onglets du navigateur, y compris obtenir ceux ouverts, en créer ou fermer.
-
activeTab : permet un accès temporaire à l’onglet actuellement actif, généralement utilisé lorsque l’utilisateur clique sur l’icône de l’extension.
-
storage : permet d’utiliser l’API de stockage Chrome pour sauvegarder et récupérer des données, comme les paramètres ou données utilisateur de l’extension.
-
cookies : permet d’accéder et de modifier les cookies du navigateur.
-
webRequest et webRequestBlocking : permettent d’intercepter et modifier les requêtes réseau. Souvent utilisées par les bloqueurs de publicités ou outils de confidentialité.
-
bookmarks : permet d’accéder et modifier les signets du navigateur.
-
history : permet d’accéder et modifier l’historique de navigation.
-
notifications : permet d’afficher des notifications sur le bureau.
-
contextMenus : permet d’ajouter des éléments personnalisés au menu contextuel (clic droit).
-
geolocation : permet d’accéder à la localisation géographique de l’utilisateur.
-
clipboardRead et clipboardWrite : permettent de lire et écrire dans le presse-papiers.
-
downloads : permet de gérer les téléchargements (lancer, suspendre, annuler).
-
management : permet de gérer d’autres extensions et applications du navigateur.
-
background : permet d’exécuter des tâches prolongées en arrière-plan.
-
notifications : permet d’afficher des notifications système.
-
webNavigation : permet de surveiller et modifier le comportement de navigation du navigateur.
Ces permissions permettent aux extensions Chrome d’exécuter des fonctions puissantes et variées, mais impliquent aussi qu’elles puissent accéder à des données sensibles telles que les cookies ou les informations d’authentification.
4. Pourquoi une extension Chrome malveillante peut-elle voler les droits d’un utilisateur ?
Les extensions malveillantes exploitent les permissions demandées pour voler les droits d'accès et les informations d’authentification, car elles ont un accès direct à l’environnement et aux données du navigateur. Les raisons spécifiques incluent :
-
Accès étendu via permissions : les extensions malveillantes demandent souvent de nombreuses permissions, comme accéder à tous les sites (<all_urls>), lire/modifier les onglets (tabs), accéder au stockage (storage), ce qui leur permet de surveiller largement l’activité et les données de l’utilisateur.
-
Manipulation des requêtes réseau : grâce aux permissions webRequest et webRequestBlocking, elles peuvent intercepter et modifier les requêtes, permettant de voler les identifiants ou données sensibles — par exemple, capturer les mots de passe saisis lors d’une connexion.
-
Lecture/écriture du contenu des pages : via les scripts de contenu, elles injectent du code dans les pages pour lire ou modifier leur contenu, pouvant ainsi voler toute donnée saisie par l’utilisateur (formulaires, recherches, etc.).
-
Accès au stockage local : grâce à la permission storage, elles peuvent accéder aux données locales comme LocalStorage ou IndexedDB, potentiellement contenant des informations sensibles.
-
Accès au presse-papiers : via clipboardRead et clipboardWrite, elles peuvent lire ou modifier le contenu copié, permettant de voler ou altérer des informations comme des adresses de portefeuille.
-
Usurpation de sites légitimes : elles peuvent modifier le contenu ou rediriger vers des faux sites, incitant l’utilisateur à entrer ses identifiants.
-
Exécution continue en arrière-plan : avec la permission background, elles peuvent s’exécuter indéfiniment, collectant des données même quand l’utilisateur ne les utilise pas activement.
-
Gestion des téléchargements : via downloads, elles peuvent télécharger et exécuter des fichiers malveillants, compromettant davantage le système.
5. Pourquoi les victimes de cette extension malveillante ont-elles été piratées et perdent-elles des fonds ?
Parce que cette extension malveillante Aggr a justement obtenu les permissions mentionnées ci-dessus. Voici un extrait de la section "permissions" du fichier manifest.json de ce plugin malveillant :
-
cookies
-
tabs
-
<all_urls>
-
storage

6. Que peut faire un pirate après avoir volé les cookies d’un utilisateur via une extension Chrome malveillante ?
-
Accéder au compte : utiliser les cookies volés pour simuler une session connectée sur une plateforme d’échange, accédant ainsi aux soldes, historiques de transactions, etc.
-
Effectuer des transactions : les cookies peuvent permettre d’acheter, vendre ou transférer des cryptomonnaies sans consentement.
-
Retirer des fonds : si les cookies contiennent des jetons d’authentification, l’attaquant pourrait contourner la double authentification (2FA) et retirer directement les actifs vers un portefeuille sous son contrôle.
-
Accéder à des informations sensibles : consulter ou extraire des documents d’identité, adresses, etc., pouvant servir à de l’usurpation d’identité ou escroqueries.
-
Modifier les paramètres du compte : changer l’e-mail ou numéro de téléphone associé, renforçant ainsi le contrôle du compte.
-
Attaques d’ingénierie sociale : utiliser le compte compromis pour envoyer des messages frauduleux aux contacts, les incitant à effectuer des actions dangereuses ou à divulguer plus d’informations.
Mesures de prévention
À ce stade, de nombreux utilisateurs peuvent se demander : que faire ? Se déconnecter complètement ? Utiliser un ordinateur dédié ? Ne plus se connecter aux plateformes via navigateur ? Certains proposent des solutions radicales, mais il est possible d’apprendre à se protéger efficacement :
Recommandations pour les utilisateurs individuels :
-
Renforcer la vigilance : première ligne de défense, adopter une attitude constamment critique et prudente.
-
Installer uniquement des extensions fiables : privilégier celles provenant du Chrome Web Store ou autres sources reconnues, lire les avis utilisateurs et permissions, éviter d’accorder des accès superflus.
-
Utiliser un environnement sécurisé : éviter les extensions non identifiées, supprimer régulièrement celles inutiles, utiliser différents navigateurs pour isoler celui utilisé pour les plugins de celui utilisé pour les transactions.
-
Surveiller régulièrement l’activité du compte : vérifier fréquemment les connexions et historiques de transaction, agir immédiatement en cas d’anomalie.
-
Penser à se déconnecter : beaucoup restent connectés après utilisation, ce qui expose aux risques. Toujours cliquer sur « Déconnexion ».
-
Utiliser un portefeuille matériel : pour les gros montants, stocker les actifs dans un portefeuille matériel, bien plus sécurisé.
-
Configurer correctement le navigateur : utiliser des paramètres sécurisés et des extensions utiles (bloqueurs de pub, outils de confidentialité) pour réduire les risques.
-
Utiliser un logiciel de sécurité : installer des antivirus ou outils spécialisés capables de détecter et bloquer les extensions malveillantes.
Enfin, voici quelques recommandations pour les plateformes, afin de réduire les risques posés par les extensions Chrome malveillantes :
Imposer l’utilisation de la double authentification (2FA) :
-
Activation globale de la 2FA : obliger tous les utilisateurs à activer la 2FA pour se connecter ou effectuer des actions critiques (transactions, retraits), garantissant qu’un cookie volé ne suffit pas à accéder au compte.
-
Plusieurs méthodes disponibles : proposer SMS, e-mail, Google Authenticator, ou jetons matériels.
Gestion et sécurité des sessions :
-
Gestion des appareils : permettre aux utilisateurs de voir et déconnecter les appareils où ils sont connectés.
-
Expiration des sessions : déconnecter automatiquement les sessions inactives longtemps, limitant les risques d’usurpation.
-
Surveillance IP et géolocalisation : détecter et alerter les tentatives de connexion depuis des adresses IP ou zones géographiques inhabituelles, bloquer si nécessaire.
Renforcer les paramètres de sécurité du compte :
-
Notifications de sécurité : envoyer immédiatement des alertes par e-mail ou SMS pour toute action sensible (connexion, changement de mot de passe, retrait).
-
Fonction de gel de compte : permettre à l’utilisateur de bloquer rapidement son compte en cas d’urgence, limitant les pertes.
Améliorer la surveillance et les systèmes de contrôle :
-
Détection des comportements anormaux : utiliser l’apprentissage automatique et l’analyse de données pour repérer des modèles suspects et intervenir rapidement.
-
Alertes préventives : signaler et limiter les comportements à risque comme multiples changements de profil ou échecs répétés de connexion.
Fournir une éducation et des outils de sécurité :
-
Éducation à la sécurité : diffuser régulièrement des conseils via réseaux sociaux, e-mails ou notifications internes, sensibilisant aux risques liés aux extensions.
-
Outils officiels : proposer des extensions ou plugins certifiés aidant à renforcer la sécurité du compte et à alerter en cas de menace.
Conclusion
Honnêtement, d’un point de vue technique, appliquer toutes les mesures citées ci-dessus n’est pas toujours optimal. La sécurité doit être équilibrée avec l’expérience utilisateur : trop de contrôles nuisent à la fluidité. Par exemple, exiger une double authentification à chaque ordre peut pousser certains utilisateurs à la désactiver pour aller plus vite… Ce qui les expose, eux et leurs fonds, à des risques accrus. Si les cookies sont volés et que le retrait est bloqué, un pirate peut tout de même manipuler les marchés ("wash trading") causant des pertes indirectes. Ainsi, chaque plateforme doit adapter sa stratégie selon son modèle et ses utilisateurs. Trouver le bon équilibre entre sécurité et praticité relève de décisions stratégiques. Nous espérons que, tout en optimisant l’expérience utilisateur, les plateformes continueront de protéger sérieusement la sécurité des comptes et des actifs.
Il existe mille chemins, mais la sécurité vient toujours en premier. L’équipe de sécurité SlowMist recommande à tous les utilisateurs de prendre 3 secondes de réflexion avant d’installer un logiciel, de miser sur un projet incertain ("pump and dump"), ou d’ajouter une extension : demandez-vous si c’est sûr, si c’est raisonnable, avant d’agir — évitez à tout prix que votre histoire devienne un accident. Pour approfondir vos connaissances, nous vous conseillons vivement la lecture du Guide de survie en forêt obscure blockchain, publié par SlowMist.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










