Google a supprimé une extension malveillante pour les navigateurs basés sur Chromium usurpant l’identité de Perplexity AI. Des chercheurs de Microsoft ont découvert qu’elle interceptait le trafic de recherche des utilisateurs. Elle redirigeait ensuite les requêtes vers des serveurs contrôlés par les cyberattaquants avant de les transmettre à des moteurs de recherche officiels. La division de Threat Intelligence de l’éditeur souligne dans un blog que l’objectif de cette campagne est « de collecter des données de connexions et le trafic de recherche, ce qui pourrait permettre des utilisations en aval comme le profilage, la publicité ciblée ou d’autres formes d’abus, selon les intentions de l’opérateur ».
Cet incident s’inscrit dans une tendance plus large constatée par les chercheurs de Microsoft, qui ont averti au début du mois que les pirates utilisaient de plus en plus souvent les noms et l’image de marque de plateformes IA populaires dans des campagnes de hameçonnage et de malware.
Interception discrète des recherches effectuées dans le navigateur
Contrairement aux pirates de navigateur traditionnels qui modifient les résultats de recherche ou inondent les utilisateurs de publicités, cette extension agissait de manière plus discrète. Selon Microsoft, elle exploitait les API Manifest V3 de Chromium pour intercepter les recherches saisies dans la barre d’adresse du navigateur, en acheminant ces requêtes via une infrastructure intermédiaire contrôlée par le pirate avant de rediriger les utilisateurs vers des moteurs de recherche officiels. « Comme les victimes obtenaient finalement les résultats de recherche attendus, cette activité pouvait passer largement inaperçue », ajoute l’article de blog. « En utilisant une infrastructure intermédiaire, l’opérateur peut observer le trafic de recherche tout en préservant l’expérience de navigation attendue », a expliqué Microsoft Threat Intelligence.
L’attaque misait également sur la confiance des utilisateurs plutôt que sur l’exploitation d’une vulnérabilité du navigateur. « Ce qui rend la méthode intéressante, c’est que l’attaque ne repose pas vraiment sur l’exploitation d’une vulnérabilité du navigateur. L’utilisateur devient le vecteur d’accès initial », a souligné Vibhum Dubey, chercheur indépendant en cybersécurité et membre d’une red team. « Les employés installent régulièrement des outils de productivité basés sur un navigateur, des gestionnaires de mots de passe et des assistants IA, conférant aux extensions portant la marque « IA » une apparence de légitimité », a déclaré M. Dubey. « Les utilisateurs s’attendent également à ce que les outils d’IA demandent des autorisations étendues pour accéder aux sites web et au contenu du navigateur, ce qui permet aux demandes d’autorisation malveillantes de se fondre parmi les fonctionnalités légitimes. »
Les marques IA, un appât efficace
À mesure que les entreprises accélèrent l’adoption d’outils IA générative, les marques IA de confiance deviennent des appâts d’ingénierie sociale de plus en plus attractifs pour les attaquants. « Les attaquants exploitent la confiance des utilisateurs », a relevé Sushovan Mukhopadhyay, analyste directeur chez Gartner. « À mesure que les employés adoptent rapidement ces outils et ces marques de confiance deviennent des appâts de grande valeur pour l’ingénierie sociale. », a-t-il convenu.
« Les extensions de navigateur peuvent discrètement devenir une couche de collecte de données au sein du flux de travail quotidien de l’employé, exposant ainsi les requêtes de recherche sensibles, l’activité de navigation et le contexte métier », a-t-il ajouté. Selon M. Mukhopadhyay, le problème majeur réside dans le fait que l’adoption de l’IA par les entreprises progresse plus rapidement que la gouvernance de sécurité, offrant aux attaquants des opportunités d’exploiter le fossé entre l’enthousiasme des employés pour ces fonctionnalités et les contrôles organisationnels.
Un angle mort de la gouvernance
Les deux experts s’accordent à dire que le problème le plus épineux pour les entreprises est celui de la visibilité. « La plupart des entreprises disposent d’un processus bien rodé pour l’inventaire des logiciels, mais très peu bénéficient du même niveau de visibilité sur les extensions de navigateur », a fait remarquer M. Dubey. Lors d’évaluations de sécurité, il a constaté que certaines entreprises maintenaient des listes d’applications autorisées très strictes, tandis que les employés continuaient à installer des extensions de navigateur sans aucune surveillance, ou presque. « Plutôt que de se contenter de rechercher les extensions malveillantes connues, les équipes de sécurité devraient surveiller les comportements à risque, notamment les modifications apportées aux moteurs de recherche par défaut, les demandes d’accès à l’ensemble des sites web, les communications avec des domaines sans rapport avec l’éditeur déclaré, ainsi que les extensions qui sollicitent des autorisations supplémentaires après leur installation », a-t-il suggéré. Microsoft a également recommandé aux entreprises de vérifier l’identité des éditeurs d’extensions, d’examiner attentivement les autorisations demandées et de surveiller les navigateurs d’entreprise à la recherche d’extensions non autorisées ou non approuvées.
Selon M. Mukhopadhyay, les RSSI devraient commencer à considérer les extensions de navigateur comme des logiciels d’entreprise régis par des règles, plutôt que comme des outils de productivité personnels. « Cela implique l’utilisation de listes d’autorisation, l’examen des autorisations, la surveillance des paramètres de recherche et la mise en place de contrôles pour les outils IA non approuvés », a-t-il précisé. Citant des données de Gartner, celui-ci a indiqué que d’ici 2029, 30 % des entreprises utiliseront des technologies de navigation d’entreprise sécurisées pour améliorer l’audit des extensions de navigateur, le profilage des risques et l’application des politiques. « À mesure que les navigateurs deviennent l’espace de travail principal pour les courriels, les applications SaaS et les assistants IA, les cyberattaquants devraient continuer à les cibler », a avancé M. Dubey. Les entreprises devraient donc considérer les extensions de navigateur « comme des fournisseurs de logiciels tiers » qu’il faut évaluer, approuver et surveiller en permanence, au même titre que toute autre application d’entreprise.