Méfiance si vous utilisez des VPN gratuits sur Chrome et Firefox. Des chercheurs ont mis au jour deux extensions malveillantes capables d’intercepter tout ce que vous copiez, y compris vos mots de passe, identifiants bancaires et autres codes d’accès sensibles.

Les VPN gratuits doivent être utilisés avec prudence. Si certains sont inoffensifs, d’autres sont totalement malveillants, cherchant à exploiter des failles pour dérober vos données sensibles. Les chercheurs en cybersécurité de Socket ont notamment analysé deux extensions gratuites pour Chrome et Firefox nommées respectivement “VPN Go: Free VPN” et “Free VPN by VPN GO”. Et ce qu’ils ont découvert fait froid dans le dos.
Ces deux extensions ont la faculté d’intercepter les éléments qui transitent dans votre presse-papiers, la zone de mémoire temporaire où sont stockés les éléments copiés avant d’être collés ailleurs. Alors qu’ils agissent comme de simples proxys en surface, les deux “VPN” malveillants espionnent en réalité le presse-papiers pour mettre la main sur des identifiants et les envoyer vers le serveur des cybercriminels.
Les deux VPN malveillants interceptent les éléments sensibles copiés dans le presse-papiers
“Les utilisateurs copient régulièrement leurs mots de passe, codes d’authentification multifacteur, clés API, jetons OAuth, phrases de récupération, adresses de portefeuilles et autres informations sensibles. Une extension de navigateur ayant accès au presse-papiers n’a besoin ni de persistance locale, ni d’exécution de commandes shell, ni de charge utile native pour compromettre un utilisateur”, détaillent les chercheurs.
Il suffit en effet que l’usager accorde les autorisations nécessaires à l’extension VPN pour que le piège se referme. Pour limiter les soupçons, les pirates ont adopté une stratégie insidieuse. En l’occurrence, le code malveillant n’a été introduit dans l’extension Chrome qu’en mai dernier, soit environ cinq mois après la publication initiale. Durant cette période, les attaquants ont pu gagner la confiance de plusieurs utilisateurs avant de passer à l’action.
D’après Socket, VPN Go: Free VPN comptait environ 146 installations sur Chrome, tandis que Free VPN by VPN GO avait été installé par 3 500 utilisateurs sur Firefox. Les deux extensions ont depuis été retirées des stores. Si vous les avez installées, vous devez absolument vous en débarrasser manuellement. Il est aussi vivement conseillé de modifier tous vos mots de passe, en particulier ceux liés à des services sensibles.
Toute donnée copiée lorsque l’extension était active doit être considérée comme potentiellement compromise : mots de passe, clés API, jetons d’accès (GitHub, cloud, OAuth), codes de récupération MFA ou encore portefeuilles de cryptomonnaies.