Hier, l’extension Chrome officielle du service de partage de fichiers MEGA.nz a été compromise par un pirate. Celui-ci est parvenu à y insérer un code informatique destiné à voler les données d’identification et les clés privées des utilisateurs.
Cette faille – découverte par SerHack, un développeur italien qui contribue au projet Monero – était présente dans une mise à jour uploadée hier sur le compte Chrome Web Store du service de partage de fichiers MEGA.nz.
!!! WARNING !!!!!!! PLEASE PAY ATTENTION!!
LATEST VERSION OF MEGA CHROME EXTENSION WAS HACKED.
Version : 3.39.4
It catches your username and password from Amazon, GitHub, Google, Microsoft portals!! It could catch #mega #extension #hacked@x0rz pic.twitter.com/TnPalqj1cz
— SerHack (@serhack_) 4 septembre 2018
Selon l’informaticien, l’extension dérobait les données utilisées par ses victimes pour accéder à leurs comptes Google, Microsoft Live et One Drive, Facebook, GitHub, Amazon ou encore IDEX. Elle récupérait également les informations renseignées dans des services de portefeuille Monero et Ethereum.
Des employés de Google sont rapidement intervenus, en supprimant l’extension du Chrome Web Store. Ils l’ont également verrouillée, empêchant ceux qui l’avaient déjà téléchargée de l’utiliser.
De son côté, le service de portefeuille MyEtherWallet a également exhorté hier ses utilisateurs à désinstaller immédiatement l’extension MEGA.
** MEWS ALERT **
We’re getting reports that the latest version of the MEGA Chrome Extension was hacked.
We suggest you uninstall it immediately, for your own safety ! ??? https://t.co/Z5Kh7aDSXd
— MyEtherWallet.com (@myetherwallet) 4 septembre 2018
Ce code malveillant enregistrait les noms d’utilisateur, les mots de passe et toutes les autres données permettant au pirate d’accéder au compte de ses victimes. Celles-ci étaient ensuite transmises vers un serveur situé en Ukraine. Ce détournement visait également les services permettant de gérer des crypto-monnaies, en captant les clés privées permettant d’accéder à ces actifs.
Les utilisateurs de Chrome qui se sont servis de cette extension sont invités à s’assurer que celle-ci a bien été désactivée. Il leur est ensuite recommandé de modifier l’ensemble des mots de passe utilisés pour accéder aux services concernés, et de transférer leurs éventuelles crypto-monnaies vers de nouveaux portefeuilles.
« Un pirate non identifié »
Dans un article publié ce mardi, MEGA.nz explique qu’un « pirate non identifié a uploadé une version infectée par un trojan de l’extension Chrome MEGA (3.39.4) », le 4 septembre, à 16h30, heure française. L’entreprise ajoute avoir uploadé quatre heures plus tard une version « propre » (3.39.5) de l’extension.
« Nous aimerions nous excuser pour cet incident significatif », écrit la société. « Nous sommes actuellement en train de rechercher l’origine exacte du détournement de notre compte Chrome Web Store ».
MEGA.nz a également fait part de son mécontentement vis-à-vis des nouvelles normes de sécurité utilisées par le Chrome Web Store – des normes qui, selon elle, « retirent une barrière importante face à de potentiels détournements ».
Au cours des deux dernières années, d’autres extensions ont été détournées. Dans la plupart des cas, ces agissements étaient commis par des pirates qui étaient parvenus à accéder aux comptes de développeurs, ce qui leur avait ensuite permis de publier des versions infectées d’extensions légitimes.