La communauté des développeurs est une nouvelle fois dans le viseur des cybercriminels. Manifestement d'envergure, une campagne de phishing cible activement les comptes des créateurs d'extensions sur la plateforme AMO (addons.mozilla.org) de Mozilla.

Des acteurs malveillants se font passer pour l'organisation afin de dérober des identifiants et potentiellement compromettre les modules complémentaires utilisés par des millions d'utilisateurs du navigateur Firefox.

Le faux e-mail pour tenter de piéger

L'approche est assez classique. Les attaquants envoient un e-mail aux développeurs en utilisant l'urgence comme levier psychologique.

Le message, qui imite une communication officielle, annonce une nouvelle dont la nature est susceptible de susciter l'inquiétude : « Votre compte Mozilla Add-ons nécessite une mise à jour pour continuer à accéder aux fonctionnalités pour développeurs. »

L'objectif est de faire paniquer et cliquer sur un lien malveillant sans réfléchir. Une technique rodée qui cherche à exploiter la confiance établie dans l'écosystème Mozilla et Firefox.

firefox-add-ons-mozilla

Les bons réflexes pour ne pas tomber dans le panneau

Face à cette offensive, Mozilla a communiqué une série de recommandations pour se prémunir. La vigilance est de mise, et quelques vérifications simples peuvent faire toute la différence.

Des gestes barrières à appliquer :

  • S'assurer que l'e-mail provient bien d'un domaine officiel de Mozilla comme mozilla.org, firefox.com, mozilla.com ou l'un des sous-domaines.
  • Vérifier des en-têtes de l'e-mail pour confirmer si les protocoles de sécurité SPF, DKIM et DMARC sont validés.
  • Ne jamais cliquer à la hâte et prendre l'habitude de saisir manuellement l'adresse du site addons.mozilla.org.

La règle d'or demeure de ne jamais saisir des identifiants sur un site dont l'authenticité n'a pas été vérifiée.

Une attaque qui fait déjà des dégâts

Des témoignages confirment que des développeurs ont bien reçu des e-mails frauduleux. Si pour certains le message a atterri directement dans le dossier des e-mails indésirables, un développeur d'extension aurait été victime de l'attaque, le poussant à supprimer son module par précaution.

C'est peut-être aussi le moment de penser à activer une authentification à deux facteurs sur un compte.