L'extension Chrome MEGA hackée pour voler des cryptos
L'extension Google Chrome du service de téléchargement et de partage de fichiers MEGA a été compromis par des hackers cherchant à voler des identifiants de connexion et des clés de crypto-monnaies. A la rédaction de cet article, l'extension a déjà été supprimé du Chrome Web Store.
SerHack a été le premier à sonner l'alarme, avertissant le 4 septembre dans un tweet que la version 3.39.4 de l'extension avait été piratée et potentiellement dans le but de récupérer des informations utilisateur, y compris les noms d'utilisateur et les mots de passe de plusieurs plateformes, notamment Amazon, Github, Google et Microsoft.
L'extension MEGA compromise surveillait activement les informations utilisateur stockées dans le navigateur, recherchant les URL avec des formulaires d'inscription ou de connexion.
Les données sur ces formulaires etaient ensuite envoyées à un hôte non identifié en Ukraine appelé https://www.megaopac.host/.
Le code malveillant surveillait également les URL spécifiques telles que «https://www.myetherwallet.com/*», «https://mymonero.com/*» et «https://idex.market/*». Si des informations enregistrées sont détectées, il exécute ensuite une fonction javascript qui tente de voler des clés de chiffrement privées des utilisateurs connectés.
Confirmant le piratage, MEGA a fait l'annonce suivante :
"Le 4 septembre 2018 à 14h30 UTC, un attaquant inconnu a téléchargé une version cheval de Troie de l'extension Chrome de MEGA 3.39.4 sur le Google Chrome Store. Lors de l'installation ou de la mise à jour automatique, il demanderait des autorisations élevées que l'extension réelle de MEGA ne nécessite pas et extrairait des informations d’identification des sites, notamment amazon.com, live.com, github.com, google.com, myetherwallet.com, mymonero.com, idex.market et une demande HTTP POST aux autres sites, vers un serveur situé en Ukraine. Notez que les informations d'identification méga.nz n'étaient pas extraites."
Google à blâmer ?
Dans un communiqué publié hier, MEGA blâme Google d'avoir retiré leur capacité à signer les extensions, facilitant ainsi la survenue de tels incidents.
"Nous aimerions nous excuser pour cet incident important. MEGA utilise des procédures de publication strictes avec une révision du code multipartite, un workflow robuste et des signatures cryptographiques lorsque cela est possible. Malheureusement, Google a décidé de refuser les signatures des éditeurs sur les extensions Chrome et se contente uniquement que des signatures automatiques après leur téléchargement sur la boutique en ligne Chrome, ce qui supprime une barrière important contre des compromis externes. MEGAsync et notre extension Firefox sont signés et hébergés par nos soins et n'ont donc pas pu être victimes de cette attaque. Bien que nos applications mobiles soient hébergées par Apple / Google / Microsoft, elles sont signées par cryptographie et sont donc également protégées."
Les chercheurs en sécurité qui ont examiné l’extension Firefox de MEGA n’ont trouvé aucune preuve de falsification, ce qui semblerait soutenir les affirmations de la déclaration de MEGA.
SerHack, qui a initialement découvert le hack, a conseillé à tous les utilisateurs de Chrome MEGA de désinstaller l’extension immédiatement. Il a également déclaré que ces utilisateurs devraient immédiatement changer tous leurs mots de passe sur tous les comptes qu’ils auraient pu utiliser dans le navigateur.
On ne le dira jamais assez, restez extrêment vigilants lorsqu'il s'agit de divulguer vos informations confidentielles.