Ces derniers temps, l'actualité de la cybersécurité est marquée par deux sujets préoccupants : la découverte d' extensions malveillantes Edge utilisées dans une campagne d'envergure, et la révélation de failles critiques sur GLPI, votre outil de gestion de parc. Ces événements rappellent l'importance cruciale d'une vigilance constante et d'une gestion proactive de la sécurité dans votre infrastructure IT. Découvrons ensemble les détails et les implications pour votre quotidien d'administrateur système et réseau.
StegoAd : Le mille-feuille malveillant dans les extensions Edge
Microsoft a récemment alerté sur une campagne sophistiquée nommée StegoAd, qui a conduit au retrait de 119 extensions du Microsoft Edge Add-ons store. Le procédé est insidieux : un code malveillant, dissimulé dans des images et des polices de caractères via des techniques de stéganographie, ne s'activait que plusieurs jours après l'installation. Ce délai était conçu pour passer sous les radars des analyses automatisées (sandboxes).
Anatomie de StegoAd : Dormance et Évasion
Les pirates derrière StegoAd ont fait preuve d'une grande ingéniosité pour échapper à la détection :
- Délai d'activation : Un délai de 3 à 5 jours après l'installation pour laisser le temps de passer outre les analyses initiales.
- Exécution probabiliste : Le code malveillant ne se déclenchait pas systématiquement, rendant le comportement plus difficile à cerner.
- Validation côté serveur : Une vérification sur les serveurs de commande et contrôle (C2) était nécessaire avant de délivrer la charge utile.
- Détection des outils de développement : Si l'extension détectait l'ouverture des DevTools, elle prolongeait sa période de dormance.
Ces tactiques ont permis à ces extensions, souvent déguisées en bloqueurs de publicités, VPN ou traducteurs, d'atteindre jusqu'à 2,6 millions d'installations entre mars 2024 et avril 2026. Le nombre réel de victimes reste inconnu, mais les actions observées sont graves : fraude publicitaire (injection de pubs, détournement de commissions d'affiliation), redirections de recherche, vol d'identifiants (Google, WordPress), et exfiltration de cookies pour le détournement de sessions.
Techniques de Dissimulation : De PNG à WOFF2
La signature de StegoAd réside dans sa méthode de dissimulation :
- Icône PNG piégée : Du JavaScript était ajouté après le marqueur
IENDd'une icône PNG. L'image s'affichait normalement, mais embarquait la charge utile. - PNG distant : L'image piégée était récupérée depuis un serveur C2.
- Conteneurs WebP : Après l'amélioration des détections PNG, les attaquants ont basculé vers le format WebP.
- Polices WOFF2 : Le code malveillant était caché dans les fichiers de polices, le faisant passer pour de simples données typographiques.
Le décodage du code malveillant impliquait une chaîne de transformations (inversions de casse et de chiffres, Base64, XOR) avec une vérification de signature avant exécution. L'infrastructure C2 était complexe, utilisant des domaines multiples avec bascule automatique, des relais via Cloudflare Workers, et l'abus de GitHub Pages pour héberger des balises de suivi.
Que faire face aux extensions malveillantes Edge ?
Face à cette menace, une approche proactive est essentielle :
- Audit des extensions : Ouvrez
edge://extensionset comparez la liste des extensions installées avec les identifiants fournis par Microsoft dans leurs rapports de sécurité. - Considérer le navigateur comme compromis : Si une correspondance est trouvée, ou si Edge a automatiquement supprimé une extension, considérez votre navigateur comme potentiellement exposé.
- Réinitialisation des identifiants : Changez immédiatement les mots de passe des comptes sensibles (Google, WordPress, services bancaires, etc.).
- Vérification de l'activité de connexion : Examinez l'historique de connexion de vos comptes pour détecter toute activité suspecte.
- Authentification multifacteur (MFA) robuste : Activez et configurez une MFA forte, idéalement avec des clés de sécurité physiques.
Failles critiques sur GLPI : Ne négligez pas vos plugins !
L'autre actualité majeure concerne GLPI, votre outil de gestion d'incidents et de suivi de parc. Un avis de sécurité récent a révélé 15 vulnérabilités dans plusieurs de ses plugins communautaires, dont une faille d'exécution de code à distance (RCE) critique dans le plugin GenericObject.
La faille RCE dans GenericObject : Priorité absolue
Le plugin GenericObject, utilisé pour créer des types d'objets et d'actifs personnalisés, est affecté par une faille RCE d'une gravité critique, notée 8,9 sur 10 par le score CVSS. Une telle vulnérabilité permet à un attaquant d'exécuter du code arbitraire sur votre instance GLPI, ouvrant la porte à de graves compromissions de votre serveur hébergeant des données sensibles sur votre parc informatique. Cette mise à jour doit être traitée en priorité absolue.
Un écosystème de failles : Des injections SQL aux XSS
Au-delà de GenericObject, 14 autres vulnérabilités ont été identifiées, affectant divers plugins. Ces failles incluent des injections SQL (SQLi) et des attaques par Cross-Site Scripting (XSS), avec des scores CVSS variant de 6,1 à 7,7. Le tableau ci-dessous résume les plugins concernés, leurs types de vulnérabilités et leur gravité :
| Plugin | Type de vulnérabilité | CVSS | Gravité | GLPI 10 | GLPI 11 |
| :---------- | :------------------------ | :--- | :-------- | :------ | :------ |
| GenericObject | Exécution de code à distance (RCE) | 8,9 | 🔴 Critique | ✅ | ❌ |
| | Injection SQL (SQLi) | 6,1 | 🟡 Moyenne | ❌ | ✅ |
| Datainjection | Injection SQL (SQLi) | 7,1 | 🟠 Élevée | ❌ | ✅ |
| Formcreator | Cross-Site Scripting (XSS) | 6,7 | 🟡 Moyenne | ✅ | ❌ |
| Escalade | Défaut de contrôle d'accès | 7,7 | 🟠 Élevée | ✅ | ✅ |
| Credit | Défaut de contrôle d'accès | 7,7 | 🟠 Élevée | ✅ | ✅ |
| Fields | Cross-Site Scripting (XSS) | 7,3 | 🟠 Élevée | ❌ | ✅ |
| Order | Cross-Site Scripting (XSS) – 3 failles | 7,3 | 🟠 Élevée | ❌ | ✅ |
| Treeview | Cross-Site Scripting (XSS) | 7,3 | 🟠 Élevée | ❌ | ✅ |
| Tag | Cross-Site Scripting (XSS) | 7,3 | 🟠 Élevée | ❌ | ✅ |
| Oauthimap | Cross-Site Scripting (XSS) | 7,3 | 🟠 Élevée | ❌ | ✅ |
| Glpinventory| Défaut de contrôle d'accès | 6,3 | 🟡 Moyenne | ❌ | ✅ |
| Glpinventory| Cross-Site Scripting (XSS) | 7,3 | 🟠 Élevée | ✅ | ✅ |
Il est important de noter que ces correctifs interviennent peu de temps après des mises à jour de sécurité majeures de GLPI lui-même (versions 11.0.8 et 10.0.26), qui avaient déjà corrigé 16 vulnérabilités, dont deux critiques pour GLPI 11.
Quel impact pour vous ?
Les équipes gérant des instances GLPI Network Cloud bénéficient d'une bonne nouvelle : les correctifs ont déjà été déployés. En revanche, la responsabilité incombe entièrement aux administrateurs des instances auto-hébergées. Si vous gérez votre propre serveur GLPI, vous devez impérativement appliquer ces mises à jour pour protéger votre environnement.
FAQ : Extensions malveillantes et failles GLPI
Pourquoi les extensions de navigateur posent-elles un tel risque ?
Les extensions disposent de larges permissions sur votre navigateur et peuvent accéder à des données sensibles, y compris vos identifiants et les informations des pages visitées. Si une extension est compromise ou malveillante, elle peut être utilisée pour vous espionner, voler vos données ou mener des attaques.
Comment différencier une extension légitime d'une extension malveillante ?
Vérifiez le nombre d'installations, les avis des utilisateurs, la date de création et les dernières mises à jour. Méfiez-vous des extensions demandant des permissions excessives ou qui semblent trop belles pour être vraies (par exemple, une extension qui prétend améliorer drastiquement les performances). Lisez attentivement les rapports de sécurité comme ceux de Microsoft ou de chercheurs indépendants.
Qu'est-ce qu'une faille RCE et pourquoi est-elle si grave ?
Une faille RCE (Remote Code Execution) permet à un attaquant d'exécuter du code arbitraire sur un système distant sans autorisation. C'est l'une des vulnérabilités les plus critiques car elle donne à l'attaquant un contrôle quasi total sur le système affecté, lui permettant d'installer des malwares, de voler des données ou de modifier la configuration du système.
Comment les techniques de stéganographie sont-elles utilisées dans les cyberattaques ?
La stéganographie consiste à cacher des informations (ici, du code malveillant) dans des fichiers apparemment inoffensifs (images, polices). Cela permet au code malveillant de passer inaperçu auprès des antivirus et des analyses statiques, car le fichier lui-même ne semble pas suspect. Il ne se révèle qu'une fois décodé.
Ce que j'en retiens
Ces deux sujets, extensions malveillantes Edge et failles GLPI, illustrent une tendance claire : les attaquants misent sur la subtilité et l'exploitation de confiance. La complexité des méthodes de dissimulation (stéganographie) et les délais d'activation montrent une professionnalisation accrue des menaces. Pour vous, administrateur, cela signifie une obligation de maintenir un niveau de vigilance élevé, de ne jamais considérer une configuration comme acquise, et de systématiser les audits réguliers. Les correctifs sont essentiels, mais la détection précoce et la politique de gestion des extensions dans vos navigateurs sont vos meilleurs alliés face à ces menaces évolutives.