Des chercheurs en cybersécurité viennent de découvrir qu’une extension de Google Chrome, Shitcoin Wallet, qui permet de gérer ses fonds en crypto-monnaie, disposait de lignes de code malveillant. Elle est programmée pour envoyer des mots de passe et des clés privées de portefeuille à un site tiers. De quoi se faire plumer en quelques clics.
Développer une extension censée vous aider à gérer votre crypto-monnaie directement depuis votre navigateur mais qui va, en réalité, vous la dérober : telle est la jolie prouesse réalisée par une extension de Chrome, baptisée Shitcoin Wallet et lancée le 9 décembre 2019.
Shitcoin Wallet : l’extension qui vole vos mots de passe de crypto-monnaie
L’extension permet la gestion des pièces de monnaie d’Ether (ETH), mais aussi les jetons basés sur Ethereum ERC20. Une application bureau Windows est également disponible.
Mais Shitcoin Wallet dispose d’un bonus désagréable : un code malveillant y a été ajouté, comme vient de le révéler Harry Denley, directeur de sécurité de la plateforme MyCrypto. Ce code JavaScript commence pour envoyer toutes les clés privées de tous les portefeuilles créés ou gérés via Shitcoin Valley à un site Internet tiers. Dès lors, tous les fonds en question peuvent être contrôlés (et récupérés) par ces tiers.
Un rasoir à deux lames
La deuxième lame du rasoir est encore plus violente, puisque l’extension injecte du code quand l’utilisateur se rend sur les cinq plateformes de gestion de crypto-monnaies les plus populaires. Identifiants et clés privées des sites en question sont envoyés aux même tiers.
Au 2 janvier 2020, l’extension était toujours disponible sur la boutique web officielle de Google Chrome. Pire : des analyses de VirusTotal présentés conjointement à l’extension indiquent qu’elle est sans danger. Reste à savoir si l’extension a été piratée en interne, ou si un tiers a réussi à la compromettre de l’extérieur. Cette affaire ne va donc pas redorer le blason de Chrome, un navigateur régulièrement sous le feu des critiques.