Cyberhaven, une startup spécialisée dans la prévention des pertes de données, affirme que des pirates ont publié une mise à jour malveillante de son extension Chrome capable de voler les mots de passe et les jetons de session des clients, selon un e-mail envoyé aux clients concernés, qui pourraient avoir été victimes de cette attaque présumée de la chaîne d’approvisionnement.
Cyberhaven a confirmé la cyberattaque à TechCrunch vendredi mais a refusé de commenter les détails de l’incident.
Un email de l’entreprise envoyé aux clients, obtenu et publié par le chercheur en sécurité Matt Johansen, a déclaré que les pirates avaient compromis un compte d’entreprise pour publier une mise à jour malveillante de son extension Chrome tôt le matin du 25 décembre. L’e-mail indiquait que pour les clients exécutant l’extension de navigateur compromise, « il est possible que des informations sensibles, y compris les sessions authentifiées et les cookies, pour être exfiltrés vers le domaine de l’attaquant.
Le porte-parole de Cyberhaven, Cameron Coles, a refusé de commenter l’e-mail mais n’a pas contesté son authenticité.
Dans une brève déclaration envoyée par courrier électronique, Cyberhaven a déclaré que son équipe de sécurité avait détecté la compromission dans l’après-midi du 25 décembre et que l’extension malveillante (version 24.10.4) avait ensuite été supprimée du Chrome Web Store. Une nouvelle version légitime de l’extension (24.10.5) a été publiée peu de temps après.
Cyberhaven propose des produits qui, selon elle, protègent contre l’exfiltration de données et autres cyberattaques, notamment des extensions de navigateur, qui permettent à l’entreprise de surveiller les activités potentiellement malveillantes sur les sites Web. Le Chrome Web Store affiche l’extension Cyberhaven compte environ 400 000 entreprises clientes au moment de la rédaction de cet article.
Interrogé par TechCrunch, Cyberhaven a refusé de dire combien de clients concernés il avait informé de la violation. La société californienne compte parmi ses clients les géants de la technologie Motorola, Reddit et Snowflake, ainsi que des cabinets d’avocats et des géants de l’assurance maladie.
Selon l’e-mail que Cyberhaven a envoyé à ses clients, les utilisateurs concernés doivent « révoquer » et « alterner tous les mots de passe » et autres informations d’identification textuelles, telles que les jetons API. Cyberhaven a déclaré que les clients devraient également consulter leurs propres journaux pour détecter toute activité malveillante. (Les jetons de session et les cookies des comptes connectés qui sont volés dans le navigateur de l’utilisateur peuvent être utilisés pour se connecter à ce compte sans avoir besoin de leur mot de passe ou de leur code à deux facteurs, permettant ainsi aux pirates informatiques de contourner ces mesures de sécurité.)
L’e-mail ne précise pas si les clients doivent également modifier les informations d’identification des autres comptes stockés dans le navigateur Chrome, et le porte-parole de Cyberhaven a refusé de le préciser lorsque TechCrunch lui a demandé.
Selon l’e-mail, le compte d’entreprise compromis était le « compte administrateur unique du Google Chrome Store ». Cyberhaven n’a pas précisé comment le compte de l’entreprise avait été compromis, ni quelles politiques de sécurité de l’entreprise étaient en place qui ont permis la compromission du compte. La société a déclaré dans son bref communiqué qu’elle avait « lancé un examen complet de nos pratiques de sécurité et mettrait en œuvre des mesures de protection supplémentaires basées sur nos conclusions ».
Cyberhaven a déclaré avoir embauché une société de réponse aux incidents, qui, selon l’e-mail adressé aux clients, est Mandiant, et « coopère activement avec les forces de l’ordre fédérales ».
Jaime Blasco, co-fondateur et CTO de Nudge Security, a déclaré dans les messages sur X que plusieurs autres extensions Chrome ont été compromises dans le cadre apparemment de la même campagne, y compris plusieurs extensions comptant des dizaines de milliers d’utilisateurs.
Blasco a déclaré à TechCrunch qu’il enquêtait toujours sur les attaques et pensait qu’à ce stade, davantage d’extensions avaient été compromises plus tôt cette année, notamment certaines liées à l’IA, à la productivité et aux VPN.
« Il semble qu’il ne visait pas Cyberhaven, mais plutôt les développeurs d’extensions de manière opportuniste », a déclaré Blasco. « Je pense qu’ils ont recherché les extensions possibles en fonction des informations d’identification des développeurs dont ils disposaient. »
Dans sa déclaration à TechCrunch, Cyberhaven a déclaré que « des rapports publics suggèrent que cette attaque faisait partie d’une campagne plus large visant à cibler les développeurs d’extensions Chrome dans un large éventail d’entreprises ». À ce stade, on ne sait pas clairement qui est responsable de cette campagne, et les autres sociétés concernées ainsi que leurs extensions doivent encore être confirmées.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25803641/247455_Kindle_Scribe_SVasani_0001.jpg?w=360&resize=360,180&ssl=1 "Critique du Kindle Scribe (2024) : rien d’extraordinaire")
