Table des matières
L'authentification à deux facteurs est censée dissuader les pirates, mais cela ne fonctionne pas toujours comme prévu. Grâce à une attaque de contournement 2FA de Google Chrome, les pirates ont complètement évité d'avoir besoin de codes 2FA pour accéder aux comptes.
Des vacances pour les hackers
Alors que de nombreuses personnes célébraient le réveillon de Noël, des pirates ont utilisé un message de phishing pour compromettre le compte d'un employé de Cyberhaven. Ce qui semblait être un message légitime concernant la suppression de l'extension Cyberhaven Chrome du Chrome Web Store s'est avéré être un message malveillant donnant aux pirates informatiques l'accès dont ils avaient besoin pour remplacer la version réelle de l'extension Cyberhaven par une version malveillante.
Les informations d'identification du compte de l'employé n'ont jamais été compromises et le code d'authentification multifacteur (MFA) n'a pas non plus été reçu. Cependant, la cyberattaque a laissé l'extension et les comptes des utilisateurs compromis pendant quelques jours.
Contourner Chrome 2FA
Le PDG de Cyberhaven, Howard Ting, a déclaré que l'attaque avait été découverte tard le jour de Noël et que l'extension malveillante avait été supprimée dans l'heure suivant sa découverte. Il est en fait impressionnant que l'entreprise ait non seulement trouvé un problème, mais ait également pris des mesures pour le résoudre et informer les utilisateurs en moins de 48 heures.
Seuls les utilisateurs dont la mise à jour automatique était activée dans Chrome et qui utilisaient l'extension Cyberhaven Chrome étaient susceptibles d'être concernés. C'est ici que cela est devenu problématique : peu importe que Chrome 2FA soit configuré ou non : les pirates informatiques pouvaient le contourner.
Les cookies stockés dans Chrome permettent aux pirates de contourner l'exigence 2FA, car le navigateur montrait que les utilisateurs étaient déjà authentifiés. Oui, c'est pratique pour vous de ne pas avoir à obtenir un code en permanence, mais c'est aussi un moyen rapide pour les pirates d'accéder à vos comptes.
La cyberattaque visait principalement les comptes d’IA et de réseaux sociaux. Cyberhaven a immédiatement informé les utilisateurs et leur a demandé de mettre à jour vers la dernière version pour empêcher tout accès ultérieur des pirates. Bien entendu, il a été conseillé aux utilisateurs de modifier leurs mots de passe et d'effacer tous les cookies.
Pas seulement Cyberhaven
Il est un peu ironique qu'une entreprise de sécurité ait été touchée, mais cela sert également de leçon sur le fait que n'importe qui et n'importe quelle entreprise peut être compromis. L’action rapide et la transparence peuvent également aider les autres à rester plus en sécurité.
Il est important de noter que ce n'est pas seulement l'extension Chrome de Cyberhaven qui a été touchée. Un large éventail d’extensions ont été compromises, mais Cyberhaven vient d’en parler plus publiquement. Actuellement, les experts en sécurité ne savent pas si les extensions touchées étaient aléatoires ou spécifiquement ciblées.
Idéalement, la meilleure façon de vous protéger contre de telles attaques est de toujours effacer vos cookies après chaque session de navigation. C'est également une bonne idée de maintenir votre navigateur et vos extensions à jour, même si dans ce cas, la mise à jour automatique a effectivement installé la version malveillante. Cependant, de nombreuses extensions Chrome sont conçues pour vous protéger contre les sites malveillants, les publicités et les escroqueries par phishing.
Dans l’ensemble, la 2FA est toujours meilleure qu’un simple mot de passe, elle ne doit donc pas être évitée simplement à cause d’attaques de contournement. Soyez simplement prudent et ne vous laissez pas entraîner dans des escroqueries par phishing.
