On croyait Google Chrome invincible mais ce n’était sans compter sur les hackers (développeurs) de plus en plus malins. En effet, pour se prémunir Google avait lancé une campagne « sécurité » qui consistait à reverser la somme de 1337 dollars à toute personne qui trouvaient une faille de sécurité dans son navigateur web (Gagner de l’argent en débuggant Google Chrome). Cette campagne sécurité lui a permis aussi d’être élu navigateur web sécurisé en évitant le piratage lors de la conférence Pwn2own 2010 (Retour sur le concours de hack Pwn2Own 2010).  Malheureusement son règne est terminé puisque un développeur à trouver une faille. Je vous invite à redoubler de vigilance lorsque vous installé une nouvelle extension.

En effet, le hacker (Andreas Grech) a réussit à programmer une extension qui lui permet via le framework javascript jquery de récupérer les identifiants lorsque le client se connecte à une application. Il explique ainsi que lorsqu’un utilisateur de cette extension se connecte sur Twitter, Facebook ou Gmail, celle-ci lui envoie un mail avec les identifiants et le prouve sur son site. Il explique alors comment cela fonctionne :

Le navigateur Web Google Chrome permet l’installation d’extensions tierces qui sont utilisées pour ajouter de nouvelles fonctionnalités au navigateur. Les extensions sont écrites en JavaScript et HTML et permettent la manipulation du DOM, entre autre.
En permettant l’accès au DOM, un pirate peut ainsi lire les champs de formulaires… ce qui inclut les champs de nom d’utilisateur et de mot de passe. C’est ce qui a déclenché mon idée de créer ce Proof of Concept
L’extension que je présente ici est très simple. A chaque fois qu’un utilisateur soumet un formulaire, le programme essaye de récupérer le nom d’utilisateur et le mot de passe, et m’envoie un e-mail via un appel Ajax à un script avec ces informations de connexion  ainsi que l’URL puis soumet le formulaire pour éviter d’être détecté.

Bien évidemment Google a bouché la faille et il n’est plus possible de l’utiliser. Ce qui est intéressant de noter c’est que le fonctionnement de cette extension est plutôt simple et les conséquences peuvent être désastreuses. C’est tout de même fou que parmi les innombrables ingénieurs/experts développeurs aucun n’est trouvé ou pensé à ce genre d’attaques d’autant plus que Google a dépensé de l’argent dans la sécurisation de son produit. En tout cas on peut remercier ce développeur (pirate) qui n’a eu que pour ambition d’alerter Google et les utilisateurs de son navigateur web de la fragilité de celui-ci, réputé jusque là si robuste.

Source : TNW