Passer au contenu

Les extensions Chrome et Edge sont victimes d’une backdoor d’un nouveau type

Des pirates utilisent l’en-tête des requêtes HTTP pour camoufler les commandes et l’exfiltration des données. Les internautes français sont particulièrement ciblés.

Les chercheurs en sécurité d’Avast viennent de dévoiler les coulisses d’une porte dérobée qu’ils ont trouvée l’année dernière dans 28 extensions de Google Chrome et Microsoft Edge. Elle aurait affecté plus de trois millions d’internautes depuis octobre 2017. Parmi les pays les plus impactés figure d’ailleurs la France.

Cette backdoor, que les chercheurs ont baptisée « CacheFlow », permet d’ouvrir des pages Web non sollicitées et de collecter des données de navigation de la victime.
Mais sa grande originalité réside dans son canal de communication. Les commandes et les données récoltées circulent à travers le champ « cache-control » de l’en-tête HTTP. Ils sont donc noyés dans les données de Google Analytics, qui utilise également ce champ.
« Nous pensons que cette technique est nouvelle », écrivent les chercheurs dans une note de blog qui donne tous les détails de cette méthode.

Avast

Autre particularité : le code malveillant cherche à éviter les utilisateurs spécialisés dans le développement Web. Pour cela, il vérifie si les outils de développement du navigateur sont activés. Il inspecte également les autres extensions installées et les requêtes HTTP. Le cas échéant, le code malveillant se désactive automatiquement.  

La bonne nouvelle, c’est que les 28 extensions malveillantes détectées ont depuis été supprimées par Google et Microsoft.

Source : Avast

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN