Gogle a supprimé 49 extensions de la boutique Chrome qui volaient les données et les identifiants des utilisateurs. Beaucoup d'entre eux ont également souffert du vol de crypto-monnaies
Ils avaient l'air d'extensions Chrome légitimes pour gérer son portefeuille de crypto-monnaies mais, en réalité, tout ce qu'ils ont fait, c'est voler les données d'accès au portefeuille lui-même, puis, dans certains cas, voler également la monnaie virtuelle. Google a donc supprimé un total de 49 de ces extensions.
La découverte de ces extensions malveillantes n'a pas été faite par Google, mais, comme c'est souvent le cas, par un chercheur d'une société de sécurité informatique. L'information a été transmise au géant de Mountain View qui, après s'être assuré que ces extensions Chrome étaient effectivement dangereuses, les a retirées de la boutique. Le chercheur en question est Harry Denley, directeur de MyCripto, et dans une interview accordée à ZDNet, il a également expliqué le fonctionnement des extensions supprimées. Et c'est un mode de fonctionnement très particulier et intéressant.
Comment fonctionnaient les 49 extensions Chrome dangereuses
Les 49 extensions découvertes et supprimées de la boutique de Google ne faisaient rien d'autre que d'imiter celles, légitimes, des apps de crypto-wallet (c'est-à-dire des apps permettant de gérer votre portefeuille de crypto-monnaies) comme Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus et KeepKey. Et ils les ont très bien imités, affichant une interface pratiquement identique à celle de l'original. Seulement, en plus de permettre à l'utilisateur de gérer ses crypto-monnaies, elles procédaient également à l'envoi des données d'accès au portefeuille au développeur de l'extension.
Selon Denley, toutes les extensions ont été développées par la même personne ou le même groupe de personnes, très probablement basé en Russie. Ce qui est encore plus intéressant, c'est que l'installation de l'une de ces extensions n'entraînait pas automatiquement la perte de sa monnaie virtuelle : les développeurs ont apparemment procédé au vol manuel de la crypto-monnaie, uniquement dans les portefeuilles les plus importants. Mais certains vols, selon Denley, ont certainement eu lieu.
Il y en aura d'autres
Selon Denley, en outre, il est presque certain qu'il y a encore d'autres extensions similaires à découvrir, car le développeur (ou le groupe de développeurs) qui a réalisé ces 49 extensions semblerait pouvoir opérer à assez grande échelle. Denley exhorte donc les utilisateurs à signaler les extensions suspectes à MyCripto, qui les vérifiera et les enregistrera sur CryptoScamDB, une base de données regroupant de nombreuses autres extensions et applications dangereuses pour les traders de crypto-monnaies.