Nous Contacter

Cyberhaven Piraté : Extension Chrome Malveillante Publiée

Un incident de sécurité majeur a frappé la startup de prévention des pertes de données Cyberhaven, dont l’extension Chrome a été compromise par des pirates informatiques qui ont publié une mise à jour malveillante capable de dérober les mots de passe et les jetons de session des clients. Cet événement, qui s’apparente à une attaque de la chaîne d’approvisionnement, soulève de sérieuses inquiétudes quant à la sécurité des navigateurs et des extensions tierces.

Chronologie de l’incident

Selon un e-mail envoyé par Cyberhaven à ses clients touchés, les pirates ont réussi à compromettre un compte d’entreprise pour publier une version malveillante de l’extension Chrome (24.10.4) tôt le matin du 25 décembre. L’équipe de sécurité de Cyberhaven a détecté l’attaque dans l’après-midi et retiré l’extension du Chrome Web Store, avant de déployer une nouvelle version légitime (24.10.5).

Pour les clients exécutant l’extension de navigateur compromise, il est possible que des informations sensibles, y compris des sessions authentifiées et des cookies, soient exfiltrées vers le domaine de l’attaquant.

– Extrait de l’e-mail de Cyberhaven à ses clients

Ampleur potentielle de la compromission

L’extension Chrome de Cyberhaven, qui permet à l’entreprise de surveiller les activités potentiellement malveillantes sur les sites Web, compte environ 400 000 utilisateurs professionnels selon le Chrome Web Store. Parmi les clients de la startup californienne figurent des géants de la technologie comme Motorola, Reddit et Snowflake, ainsi que des cabinets d’avocats et des assureurs santé. Cependant, Cyberhaven a refusé de préciser le nombre de clients affectés qui ont été notifiés de la violation.

Actions recommandées aux clients

Dans son e-mail, Cyberhaven recommande aux utilisateurs concernés de prendre immédiatement les mesures suivantes :

  • Révoquer et faire tourner tous les mots de passe et autres identifiants textuels (comme les tokens API)
  • Examiner leurs propres journaux à la recherche d’activités malveillantes

En effet, les jetons de session et les cookies des comptes connectés qui sont volés depuis le navigateur de l’utilisateur peuvent permettre aux pirates de se connecter à ce compte sans avoir besoin du mot de passe ou du code d’authentification à deux facteurs, contournant ainsi ces mesures de sécurité.

Circonstances de la compromission

D’après l’e-mail, le compte d’entreprise compromis était le « compte administrateur unique pour le Google Chrome Store ». Cependant, Cyberhaven n’a pas précisé comment ce compte a été piraté, ni quelles politiques de sécurité d’entreprise étaient en place. La startup a déclaré avoir « initié un examen complet de [ses] pratiques de sécurité » et qu’elle « mettra en œuvre des mesures de protection supplémentaires » en fonction des résultats.

Une campagne plus large visant les extensions Chrome ?

Des rapports publics suggèrent que cette attaque ferait partie d’une campagne plus vaste ciblant les développeurs d’extensions Chrome dans un large éventail d’entreprises. Selon Jaime Blasco, cofondateur et CTO de Nudge Security, plusieurs autres extensions auraient été compromises plus tôt cette année, notamment des extensions liées à l’IA, à la productivité et aux VPN.

Il semble que l’attaque ne visait pas spécifiquement Cyberhaven, mais plutôt de manière opportuniste les développeurs d’extensions sur la base des identifiants dont disposaient les attaquants.

– Jaime Blasco, cofondateur et CTO de Nudge Security

Pour l’heure, l’identité des responsables de cette campagne reste inconnue et les autres entreprises et extensions potentiellement touchées n’ont pas encore été confirmées.

Leçons à tirer de cet incident

Cette attaque de la chaîne d’approvisionnement contre Cyberhaven met en lumière plusieurs points importants en matière de cybersécurité :

  • La nécessité de sécuriser rigoureusement les comptes d’administrateurs ayant des privilèges étendus
  • Le risque posé par les extensions de navigateur compromises, qui peuvent voler des données sensibles
  • L’importance de surveiller et de réagir rapidement aux incidents de sécurité
  • Le besoin de sensibiliser les utilisateurs aux bonnes pratiques (mises à jour, rotations des mots de passe…)

Face à la multiplication et la sophistication croissante des cybermenaces, une approche proactive et multicouche de la sécurité est plus que jamais indispensable pour les entreprises soucieuses de protéger leurs actifs numériques et les données de leurs clients.

Précédent

L’IA de DeepSeek se prend pour ChatGPT : Que se passe-t-il ?

Suivant

Les Tendances Qui Ont Façonné Les Véhicules Électriques en 2024

À lire également