MEGA.nz : compromise, son extension Chrome a pu dérober des mots de passe et des clés privées

Hier, l’ex­ten­sion Chrome offi­cielle du ser­vice de par­tage de fichiers MEGA.nz a été com­pro­mise par un pirate. Celui-ci est par­ve­nu à y insé­rer un code infor­ma­tique des­ti­né à voler les don­nées d’i­den­ti­fi­ca­tion et les clés pri­vées des utilisateurs.

Cette faille – décou­verte par SerHack, un déve­lop­peur ita­lien qui contri­bue au pro­jet Mone­ro – était pré­sente dans une mise à jour uploa­dée hier sur le compte Chrome Web Store du ser­vice de par­tage de fichiers MEGA.nz.

Selon l’in­for­ma­ti­cien, l’ex­ten­sion déro­bait les don­nées uti­li­sées par ses vic­times pour accé­der à leurs comptes Google, Micro­soft Live et One Drive, Face­book, GitHub, Ama­zon ou encore IDEX. Elle récu­pé­rait éga­le­ment les infor­ma­tions ren­sei­gnées dans des ser­vices de por­te­feuille Mone­ro et Ethe­reum.

Des employés de Google sont rapi­de­ment inter­ve­nus, en sup­pri­mant l’ex­ten­sion du Chrome Web Store. Ils l’ont éga­le­ment ver­rouillée, empê­chant ceux qui l’a­vaient déjà télé­char­gée de l’utiliser.

De son côté, le ser­vice de por­te­feuille MyE­ther­Wal­let a éga­le­ment exhor­té hier ses uti­li­sa­teurs à dés­ins­tal­ler immé­dia­te­ment l’ex­ten­sion MEGA.

Ce code mal­veillant enre­gis­trait les noms d’u­ti­li­sa­teur, les mots de passe et toutes les autres don­nées per­met­tant au pirate d’ac­cé­der au compte de ses vic­times. Celles-ci étaient ensuite trans­mises vers un ser­veur situé en Ukraine. Ce détour­ne­ment visait éga­le­ment les ser­vices per­met­tant de gérer des cryp­to-mon­naies, en cap­tant les clés pri­vées per­met­tant d’ac­cé­der à ces actifs.

Les uti­li­sa­teurs de Chrome qui se sont ser­vis de cette exten­sion sont invi­tés à s’as­su­rer que celle-ci a bien été désac­ti­vée. Il leur est ensuite recom­man­dé de modi­fier l’en­semble des mots de passe uti­li­sés pour accé­der aux ser­vices concer­nés, et de trans­fé­rer leurs éven­tuelles cryp­to-mon­naies vers de nou­veaux portefeuilles.

« Un pirate non identifié »

Dans un article publié ce mar­di, MEGA.nz explique qu’un « pirate non iden­ti­fié a uploa­dé une ver­sion infec­tée par un tro­jan de l’ex­ten­sion Chrome MEGA (3.39.4) », le 4 sep­tembre, à 16h30, heure fran­çaise. L’en­tre­prise ajoute avoir uploa­dé quatre heures plus tard une ver­sion « propre » (3.39.5) de l’extension.

« Nous aime­rions nous excu­ser pour cet inci­dent signi­fi­ca­tif », écrit la socié­té. « Nous sommes actuel­le­ment en train de recher­cher l’o­ri­gine exacte du détour­ne­ment de notre compte Chrome Web Store ».

MEGA.nz a éga­le­ment fait part de son mécon­ten­te­ment vis-à-vis des nou­velles normes de sécu­ri­té uti­li­sées par le Chrome Web Store – des normes qui, selon elle, « retirent une bar­rière impor­tante face à de poten­tiels détour­ne­ments ».

Au cours des deux der­nières années, d’autres exten­sions ont été détour­nées. Dans la plu­part des cas, ces agis­se­ments étaient com­mis par des pirates qui étaient par­ve­nus à accé­der aux comptes de déve­lop­peurs, ce qui leur avait ensuite per­mis de publier des ver­sions infec­tées d’ex­ten­sions légitimes.

Réfé­rences : IBTimes, ZDNet