En bref
Que s'est-il passé ?
The Great Suspender, extension Chrome (plus de 2 millions d'utilisateurs) de mise en veille des onglets, change de mainteneur : en juin 2020, l'auteur d'origine se retire et vend l'extension à une entité inconnue, le compte @greatsuspender.
En octobre 2020, le nouveau mainteneur publie la version 7.1.8 sur le Chrome Web Store sans changelog ni tag GitHub : le binaire publié diverge de la source. Il charge des scripts depuis owebanalytics.com, domaine créé au même moment et payé en Bitcoin.
L'extension intègre un traçage non déclaré des utilisateurs via un JavaScript minifié distinct de celui du projet OpenWebAnalytics légitime. L'absence d'identité du mainteneur et la divergence source/binaire ont fini par alerter la communauté.
Surveiller les transferts de propriété et l'identité des mainteneurs, vérifier l'équivalence source publiée vs dépôt, exiger changelog et tags, et auditer les domaines contactés par une extension.
Chronologie de l'attaque
L'auteur d'origine se retire et cède The Great Suspender à une entité inconnue (@greatsuspender).
La version 7.1.8 est poussée sur le Chrome Web Store sans changelog ni tag, divergeant de la source GitHub.
La communauté relie l'extension au domaine owebanalytics.com (créé au même moment, payé en Bitcoin) hébergeant un traçage caché.
Comment l'attaquant a procédé
Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :
La leçon à en tirer
Maîtriser les extensions (allowlist, revue) ; se méfier des changements de propriétaire.
Les exigences SOCLE qui auraient limité cet incident
Cet incident se rattache à 8 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :