Un plug-in de FireFox vole les accès aux comptes

Signalé ce jour par "Libellules.ch" :

Une nouvelle méthode pour voler les accès aux comptes Internet. Un 'plug in' masqué de Firefox en serait l’origine

La menace porte la marque d’un cheval de Troie,baptisé Trojan.PWS.ChromeInject.A

Chargé sur un ordinateur par l’intermédiaire d’un autre malware, le 'trojan' se place dans un dossier de 'plug in' du navigateur Mozilla Firefox

Le code malveillant s’exécute à chaque fois que Firefox est lancé. Il s’agit donc d’une faille qui, sans mesure appropriée, peut tout à fait s’insinuer dans un poste et y rester fermement ancré, volant ainsi vos informations personnelles.

Il apparaît que ce malware est capable de filtrer les données que l’utilisateur infecté envoie vers une centaine de sites bancaires. Par exemple, bankofamerica.com, ou chase.com, ou encore halifax-online.co.uk, ou même paypal.com et e-gold.com - tous ces établissements bancaires sont potentiellement touchés par le 'malware'.

Dès lors, ces identifiants et mots de passe sont détournés vers une adresse en .ru (nom de domaine russe). On découvre ensuite que le serveur hôte est aussi basé en Russie.

une attention toute particulière doit être adoptée en ces temps de fêtes de fin d’année. Les menaces sur les sites de paiement risquant d’être plus prégnantes dans les jours à venir. Prudence reste donc mère de sûreté.

merci James,
secuser en a parlé vers mi novembre. je pense que c'est le même sujet.

soyons prudents les amis, tu as raison James surtout en fin d'année ou certains achètent peut être sur internet.

Bonjour
et merci James
Est-il possible de savoir si ce plugin à été installé (des fois que j'aurais fait la bêtise sans m'en apercevoir)

Bonjour Babyl,

Je n'en sais pas plus. Peut être via l'ami Ricoré-Google ?

Amicalement

Babyl a écrit:
Est-il possible de savoir si ce plugin à été installé (des fois que j'aurais fait la bêtise sans m'en apercevoir)

Bonjour Babyl, et j'espère que tu n'as pas désactivé ton PC à coups de gourdin à la suite de cette alerte.

Pardonne-moi de ne pas être intervenu plus tôt, mais tu sais comment ça se passe chez les petits nouveaux : soit ils causent sans savoir ce qui a déjà été dit sur le même sujet dans une autre rubrique (comme je l'ai fait il y a quelques jours) ; soit ils tiennent à éviter tout incident de ce type, il leur faut alors un temps fou pour explorer les moindres recoins du Forum, car vous avez été très prolixes, très coopératifs, vous intéressant à des tas de sujets, depuis bientôt deux ans que vous vous piraboostez mutuellement.

Bref, pour en venir à ce qui t'intéresse, tu n'as lieu de commencer à t'inquiéter que si tu trouves Greasemonkey parmi les extensions de Firefox.

Plus d'information sur simple demande ici même, ou par démarche individuelle auprès de notre ami commun Google, en lui soufflant dans le creux de l'oreille : greasemonkey firefox trojan.

sitolip

Merci pour l'info sitolip, je n'ai pas installé cette extention, mais je vais aller vérifier tout ça.
@ +

Si tu la trouves alors que tu ne l'as pas installée, il y a lieu de t'inquiéter urgemment.
Rassure nous,

sitolip

Non non je ne l'ai pas.

Bonjour
Comment s'en assurer, est-il visible simplement ?????
Merci
Didier

Bonjour Mad :
Oui, regarde s'il apparaît parmi tes extensions, dans Outils / Modules complémentaires.

OK merci, alors c'est bon il n'est pas installé

Quelques réflexions (je cause, je cause).

1) L'alerte que James a aperçue sur libellules.ch le 3/12/2008, et qu'il nous a transmise avec diligence, de nombreuses autres sources spécialisées s'en sont fait l'écho à l'époque.
Cependant, dès le 4/12, le patron de BitDefender apporte la précision qui permet de déminer le terrain : le code malfaisant usurpe le nom de l'extension GreaseMonkey.
Cf. http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9122419
Rares sont ceux qui répercutent alors l'info. Je ne l'ai pas vue dans les archives de libellules.ch, et elle apparaît dans d'autres sites et blogs traitant de sécurité informatique, avec moins d'empressement et comme avec regret. Parce que c'était moins médiatique, peut-être ?

2) Sur les dangers de Greasemonkey(*), un article bien intéressant et en français nous interpelle :
"L'extension Greasemonkey pour Firefox devient de plus en plus populaire, et il est temps de se poser des questions.
... ...
et si un script malveillant est installé dans cette extension ? Oui, il aura accès à tout ce que je saisi sur le net, y compris mes mots de passe et mes numéros de carte bancaires...".

Bien, me direz-vous, mais trop tard ! Oui... sauf que cet article est daté du 19 avril 2005,
cf. http://www.ophiuchus.org/bob/index/2005/04/19/84-greasemonkey-firefox-et-https

3) Le malfaisant n'a pu s'introduire que grâce à la complicité inconsciente de l'utilisateur.
Or, ce type de menace peut renaître sous d'autres formes et viser d'autres cibles que Firefox.
En sécurité, la première règle, c'est de rester attentif, voire méfiant.
La deuxième règle, c'est de veiller à ne pas transgresser la première.

Euh... faites ce que je dis, pas ce que je fais

Bonjour sitolip

Merci pour tes contributions, tu m'as devancé car j'avais effectivement lu sur le web des infos identiques a celles que tu mentionnes dans ton post.
Comme tu ne maitrises pas encore toutes les fonctionalités de notre forum je profite de cette intervention pour te dire qu'il existe une fonction citer (icone) pour la rédaction des messages.



Son emploi est très simple
Tu cliques sur l'icone "citer" tu colles le texte de la citation et tu cliques encore sul'icone citer ce qui donne ceci.

Maintenant, posons nous la question, et si un script malveillant est installé dans cette extension ? Oui, il aura accès à tout ce que je saisi sur le net, y compris mes mots de passe et mes numéros de carte bancaires. Inquiétant, non ?

Revenons un instant sur le comportement de Firefox en présence d'un site sécurisé (https://). Sur un site sécurisé, Firefox affiche la barre d'adresse sur fond jaune avec un cadenas. En bas, le nom de domaine du site s'inscrit à coté du cadenas.

La question qui vient à ce moment, et si un Greasemonkey insère un script dans une page sécurisée, que ce passe-t-il ? Et bien heureusement, Firefox n'est pas dupe ; la barre d'adresse passe sur fond rouge, et le cadenas est cassé. Les options de Greasemonkey permettent de le désactiver sur les sites sécurisés, il faut le faire ! Ainsi, Firefox gardera sa capacité à vous prévenir si quelque chose cloche sur un site sécurisé, que ce soit une extension malveillante, un script malveillant installé dans Greasemonkey, ou je ne sais quoi d'autre.

Cordialement.
Microbull.

Bonsoir à tous

Pour rassurer les pirates concernant "Greasemonkey" comme l'a dit
justement sitolip il n'y a aucune raison pour qu'il s'installe à votre insu.
Pour savoir si vous l'avez sur votre machine allez voir ICI
Il est expliqué comment il s'installe et comment savoir si il est installé (voir les copies d'écrans)

Cordialement.
Microbull.
ICI

Comme tu ne maitrises pas encore toutes les fonctionalités de notre forum

Merci microbull, je vais essayer d'apprendre vite. Mais ne t'étonne pas trop si, parfois, je préfère les moyens traditionnels : guillemets français ou anglais, italique, retrait, etc., des moyens qui peuvent encore rendre service.

Pour rassurer les pirates concernant "Greasemonkey"...

Ah oui, mais non , Microbull, la page vers laquelle tu nous envoies parle du vrai Greasemonkey. Dans le cas du vrai Greasemonkey, une tête de singe apparaît dans la barre d'état de Firefox.

Ce qui nous préoccupe n'est pas Greasemonkey, mais un usurpateur.
Certes ce malfaisant usurpe le nom de Greasemonkey, mais rien ne garantit qu'il va se parer de tous les attributs de Greasemonkey. A mon humble avis, il va éviter d'afficher la tête de singe, pour mieux rester dans la clandestinité. En revanche il ne peut pas s'infiltrer parmi les extensions sans y être listé, c'est pourquoi je préconise de vérifier la liste des extensions.

Vous vous en doutez, il va choisir un nom ayant quelque vraisemblance. Et quel meilleur nom que celui d'une extension qui a connu un succès considérable ?
Si donc vous n'avez pas installé Greasemonkey, et que vous le voyez installé à l'insu de votre plein gré , il faut vous inquiéter sans doute ni délai.
Et si vous aviez installé Greasemonkey ? Eh bien vous en savez probablement assez pour ne pas vous laisser piéger par un cheval de Troie. Quoique...
Au moindre doute, ne mettez pas l'extension à jour, mais supprimez la, puis redémarrez Firefox.
Si l'extension n'est plus listée, c'est gagné (il y a de bonnes chances). Si elle apparaît encore, c'est une autre paire de manches !
Cordialement,

Et bien merci à tous pour toutes ces infos qui se complètent.