Les fausses publicités du gestionnaire de mots de passe Bitwarden sur Facebook diffusent une extension malveillante de Google Chrome qui collecte et vole les données utilisateur sensibles du navigateur.

Bitwarden est une application de gestion de mots de passe populaire avec un niveau « gratuit » comprenant un cryptage de bout en bout, une prise en charge multiplateforme, une intégration MFA et une interface conviviale.

Sa base d’utilisateurs n’a cessé de croître au cours des deux dernières années, notamment à la suite de failles de sécurité de concurrents qui ont conduit de nombreuses personnes à rechercher des alternatives.

Une nouvelle campagne de publicité malveillante se faisant passer pour Bitwarden a été repéré par Bitdefender Labsdont les chercheurs rapportent que l’opération a été lancée le 3 novembre 2024.

Publicités Facebook malveillantes

La campagne publicitaire de Facebook avertit les utilisateurs qu’ils « utilisent une version obsolète de Bitwarden » et qu’ils doivent immédiatement mettre à jour le programme pour sécuriser leurs mots de passe.

Le lien inclus dans l’annonce est « chromewebstoredownload ».[.]com », qui prétend être le Chrome Web Store officiel de Google sur « chromewebstore.google.com ».

La page de destination présente également un design ressemblant beaucoup au Chrome Web Store, comprenant un bouton « Ajouter à Chrome ».

Cependant, au lieu que l’extension s’installe automatiquement lorsque vous cliquez sur le lien, les visiteurs sont invités à télécharger un fichier ZIP à partir d’un dossier Google Drive.

Bien que cela doive être un signe clair de danger, les utilisateurs non familiers avec le Chrome Web Store peuvent procéder à l’installation manuelle, en suivant les instructions sur la page Web.

L’installation nécessite d’activer le « Mode développeur » sur Chrome et de charger manuellement l’extension sur le programme, donc essentiellement, les contrôles de sécurité sont contournés.

Une fois installée, l’extension s’enregistre sous le nom de « Bitwarden Password Manager » version 0.0.1 et obtient les autorisations qui lui permettent d’intercepter et de manipuler les activités des utilisateurs.

Ses principales fonctions sont les suivantes :

• Collectez les cookies de Facebook, notamment le cookie « c_user » contenant l’identifiant de l’utilisateur.
• Collectez des données IP et de géolocalisation à l’aide d’API publiques
• Collectez les détails des utilisateurs de Facebook, les informations de compte et les données de facturation via l’API Graph de Facebook
• Manipule le DOM du navigateur pour afficher de faux messages de chargement à des fins de légitimité ou de tromperie.
• Encode les données sensibles et les transmet à une URL Google Script sous le contrôle des attaquants.

Pour atténuer ce risque, il est conseillé aux utilisateurs de Bitwarden d’ignorer les publicités invitant aux mises à jour des extensions, car les extensions Chrome sont automatiquement mises à jour lorsque le fournisseur publie une nouvelle version.

Les extensions ne doivent être installées que via la boutique en ligne officielle de Google ou en suivant les liens du site officiel du projet, dans ce cas, bitwarden.com.

Lors de l’installation d’une nouvelle extension, vérifiez toujours les autorisations demandées et traitez les demandes trop agressives impliquant l’accès aux cookies, les requêtes réseau et les données de sites Web avec une grande suspicion.