Un logiciel espion récemment découvert a attaqué les utilisateurs par le biais de 32 millions de téléchargements d'extensions du navigateur web Chrome de Google, leader sur le marché, ont déclaré à Reuters des chercheurs d'Awake Security, soulignant l'échec de l'industrie technologique à protéger les navigateurs car ils sont davantage utilisés pour le courrier électronique, la paie et d'autres fonctions sensibles.

Google a expliqué avoir retiré plus de 70 des extensions malveillantes de sa boutique en ligne officielle Chrome, après avoir été alerté par les chercheurs le mois dernier. "Lorsque nous sommes avertis de l'existence d'extensions dans le Web Store qui violent nos politiques, nous prenons des mesures et utilisons ces incidents comme matériel de formation pour améliorer nos analyses automatisées et manuelles", a déclaré à Reuters Scott Westover, porte-parole de Google. La plupart des extensions gratuites étaient censées avertir les utilisateurs de sites web douteux ou permettre la conversion des fichiers d'un format à un autre. Au lieu de cela, elles siphonnaient l'historique de navigation et les données qui permettaient d'accéder aux outils internes de l'entreprise.

Selon Gary Golomb, co-fondateur et responsable scientifique d'Awake, cette campagne de téléchargement a été la plus importante jamais menée dans les magasins d'apps de Chrome. Google a refusé d'élaborer sur la façon dont les derniers logiciels espions se comparent aux campagnes précédentes, de l'ampleur des dégâts, ou des raisons pour lesquelles il n'a pas détecté et supprimé les extensions de lui-même, malgré les promesses passées de surveiller les contenus de plus près. L'origine des logiciels reste floue puisque les développeurs ont fourni de fausses coordonnées lorsqu'ils ont soumis les extensions à Google.

"Tout ce qui vous permet d'accéder au navigateur ou au courrier électronique de quelqu'un ou à d'autres zones sensibles serait une cible pour l'espionnage d'Etat ainsi que pour le crime organisé", a déclaré l'ancien ingénieur de la NSA, Ben Johnson, qui a fondé les sociétés de sécurité Carbon Black et Obsidian Security. Les extensions ont été conçues pour éviter la détection par les antivirus ou les logiciels de sécurité qui évaluent la qualité des domaines web, a déclaré M. Golomb. En utilisant un navigateur sur un ordinateur personnel pour aller sur internet, l'utilisateur se connecte à une série de sites web et transmet ses informations, ont constaté les chercheurs. En revanche, les utilisateurs de réseaux d'entreprises correctement protégés ne transmettent pas les informations sensibles et ne pourraient pas accéder aux versions malveillantes des sites web.

"Cela montre comment les attaquants peuvent utiliser des méthodes extrêmement simples pour cacher, dans ce cas, des milliers de domaines malveillants", a déclaré M. Golomb Tous les domaines en question, plus de 15 000 au total, ont été achetés auprès d'un petit bureau d'enregistrement en Israël, Galcomm, connu officiellement sous le nom de CommuniGal Communication Ltd. Awake a déclaré que Galcomm aurait dû savoir ce qui se passait. Dans un échange de courriels, le propriétaire de Galcomm, Moshe Fogel, a déclaré à Reuters que sa société n'avait rien fait de mal. "Galcomm n'est pas impliqué, et n'a aucune complicité avec quelque activité malveillante que ce soit", a écrit Fogel, qui poursuit qu'au contraire, sa société "coopère avec les forces de l'ordre et les organes de sécurité pour prévenir autant que possible ces situations". Fogel a déclaré qu'il n'y avait aucune trace des enquêtes que Golomb a dit avoir faites en avril et à nouveau en mai à l'adresse électronique de la société pour signaler un comportement abusif, et il a demandé une liste des domaines suspects. Reuters lui a envoyé cette liste à trois reprises sans obtenir de réponse concrète.

L'Internet Corp for Assigned Names and Numbers, qui supervise les bureaux d'enregistrement, a déclaré avoir reçu peu de plaintes concernant Galcomm au cours des années, et aucune concernant des logiciels malveillants.

Si les extensions malveillantes posent problème depuis des années, la situation ne fait qu'empirer. Elles ont d'abord diffusé des publicités non désirées, et sont maintenant plus susceptibles d'installer des programmes malveillants supplémentaires ou de suivre les utilisateurs et de savoir ce qu'ils font pour le compte des gouvernements ou du secteur commercial. Les développeurs malveillants utilisent depuis longtemps la boutique Chrome Store de Google comme canal de communication. Après qu'une soumission sur dix ait été jugée malveillante, Google a déclaré en 2018 qu'il améliorerait la sécurité, en partie en augmentant l'examen humain. Mais en février, la chercheuse indépendante Jamila Kaya et la société Duo Security de Cisco Systems ont découvert une campagne Chrome similaire qui a volé des données à environ 1,7 million d'utilisateurs. Google s'est joint à l'enquête et a découvert 500 extensions frauduleuses "Nous effectuons régulièrement des balayages pour trouver des extensions utilisant des techniques, des codes et des comportements similaires", a déclaré Westover de Google.