Une fausse extension Authenticator découverte dans le Chrome Store

Faites toujours preuve de prudence si vous installez des extensions à partir du Chrome Web Store pour votre navigateur et que vous vous souciez de votre sécurité en ligne.

Il a été rapporté qu’une fausse extension Chrome prétendant être “Microsoft Authenticator” a réussi à se faufiler et a été téléchargée par des centaines de personnes.

Comme le rapporte GHacks, une extension utilisant à la fois le nom et la marque de l’application légitime Microsoft Authenticator a été découverte sur le magasin des extensions de navigateur et a réussi à obtenir une note de trois étoiles sur cinq.

Selon le rapport, la fausse extension Microsoft Authenticator a été mise à disposition le 23 avril de cette année après avoir échoué à être repérée par les systèmes de sécurité de Google et a atteint 448 utilisateurs.

Une inspection minutieuse de l’entrée de l’extension dans le Chrome Web Store aurait, dans un monde idéal, suscité des soupçons parmi les téléchargeurs potentiels : le module complémentaire prétendait avoir été proposé au téléchargement par “Extensions” plutôt que par “Microsoft Corporation” son supposé développeur, et les coordonnées pointaient vers Gmail plutôt que vers le domaine de Microsoft.

Jeter un rapide coup d’œil aux avis aurait également dû sonner l’alarme, car certaines d’entre elles ont clairement averti les utilisateurs potentiels du danger, tandis que d’autres critiques (vraisemblablement fausses) regorgeaient d’éloges suspects.

Enfin, les pages Web de Microsoft sur son produit Authenticator indiquent clairement qu’il n’est pas disponible en tant qu’extension de navigateur, mais en tant qu’application pour smartphone Android et iOS.

Si vous aviez la malchance d’ajouter la fausse extension à votre navigateur Chrome, GHacks a décrit comment vous seriez déçu par ses fonctionnalités :

Cette application “Microsoft Authenticator” ne peut pas être utilisée pour authentifier les connexions de compte Microsoft ou toute autre connexion par ailleurs. Il affiche une page basique avec l’option «d’exécuter Microsoft Authenticator». Un clic sur le bouton ouvre une page Web polonaise qui redirige vers une autre page Web demandant automatiquement une connexion ou la création d’un compte.

Il s’agissait manifestement d’une extension malveillante, et il est bon de savoir qu’elle a depuis été retirée du Chrome Web Store par Google. Mais combien de ces 400 utilisateurs ont pu avoir involontairement partagé des informations sensibles entre-temps, sans savoir qu’ils avaient été dupés ?

Il est bon que les utilisateurs soient de plus en plus conscients que des niveaux d’authentification supplémentaires renforcent fortement leur sécurité en ligne, mais nous vous conseillons de choisir prudemment vos outils de cybersécurité, afin de ne pas être dupé en installant des programmes frauduleux qui feraient précisément l’inverse.