Zoltan Balazs, qui travaille comme consultant en sécurité informatique pour la SSII Deloitte en Hongrie, a créé ce module en proof of concept pour mieux connaître les risques associés aux extensions du navigateur. Il prévoit de publier le code source de son programme sur GitHub lors de la  conférence Hacker Halted Security à Miami qui débute la semaine prochaine. Il partagera préalablement son travail avec les éditeurs d'antivirus.

Il existe des cas connus d'extension douteuse pour navigateur. Par exemple en mai dernier, la Wikimedia Foundation a émis une alerte concernant une extension sur Google Chrome qui insérait des liens de publicités dans les pages de Wikipedia détournées. Jusqu'à présent, les cybercriminels ont principalement utilisé des extensions pour effectuer la fraude au clic via des publicités dans des sites malveillantes ou le détournement de requêtes. Le projet de Zoltan Balazs montre que ce type de malware peut être utilisé pour des attaques plus graves.

Le POC déployé par le chercheur fonctionne avec Firefox, Chrome et Safari. Une version pour Internet Explorer est en cours de développement. L'extension proposée est capable de voler des cookies de session et même contourner des systèmes d'authentification à deux niveaux, comme celui mis en place par Google. Cela permettrait à des hackers de pirater des comptes sur différents sites.

Une vraie boîte à outil pour pirates


La version Firefox peut aussi : voler des mots de passe intégrés dans le navigateur via Password Manager, télécharger et exécuter des fichiers (uniquement sous Windows), de modifier le contenu des pages web, de faire des captures d'écran grâce à la webcam de l'ordinateur en accédant à une application Flash hébergé sur une page web. L'extension fonctionne aussi avec Firefox pour Android, même si certaines attaques ne marchent pas, en raison des restrictions de l'OS mobile. Par contre, elle gagne d'autres fonctionnalités comme la possibilité de déterminer les coordonnées géographiques.

Sur Chrome, le logiciel du chercheur ne peut pas être utilisé pour télécharger et exécuter des fichiers pour le moment. « Il existe des façons de le faire, mais je n'ai pas encore eu le temps de les mettre en oeuvre » précise Zoltan Balazs. Il invoque la technologie de bac à sable, Native Client, supportée par Chrome et qui peut être utilisé avec l'extension pour craquer les mots de passe. Le consultant explique qu'un de ses collègues à réaliser un module pour Chrome dans ce sens. L'extension pour Safari a été facile à créer, car il s'agit d'une conversion de celle pour Chrome.

La difficulté, soulignée par Zoltan Balazs, réside dans la distribution des extensions qui diffère selon les navigateurs. Pour Firefox, la méthode choisie est l'ingénierie sociale, qui incite les utilisateurs à installer les extensions. Firefox autorise l'installation d'extensions de sites tiers. Pour Chrome, c'est plus difficile, car les extensions sont disponibles uniquement sur le Chrome Web Store. Il faut donc passer par d'autres méthodes.

Le consultant a entamé un dialogue avec les éditeurs d'antivirus pour qu'ils travaillent sur les extensions des navigateurs.