### Le navigateur Hola compromis lors d'une attaque de la chaîne d'approvisionnement La version Windows du **Hola Browser** a été trouvée compromise dans le cadre d'une attaque de la chaîne d'approvisionnement. Cette violation a conduit à la livraison discrète d'un exécutable non déclaré, identifié plus tard par les chercheurs comme un mineur de cryptomonnaie. Ce compromis a été initialement découvert lors de contrôles de certification périodiques du **Hola Browser** dans le cadre de sa procédure de test de certification **AppEsteem**, une norme qu'il avait précédemment respectée. ### L'écosystème Hola : VPN et Navigateur **Hola** est une entreprise israélienne principalement connue pour **Hola VPN**, un service qui permet aux utilisateurs de contourner les restrictions géographiques en acheminant le trafic Internet via les appareils d'autres utilisateurs ou une infrastructure de proxy payante. Le **Hola Browser**, basé sur **Chromium**, intègre cette fonctionnalité VPN et proxy directement. Historiquement, **Hola** et ses produits ont fait l'objet d'un examen minutieux en raison de pratiques opaques de gestion du trafic, en particulier concernant son service commercial, **Luminati Networks**, qui a controverséusement transformé les utilisateurs gratuits en proxys. ### Décryptage du cryptomineur : 'me.exe' Lors de récentes évaluations d'intégrité des applications, des sociétés de cybersécurité, dont **Sophos**, ont découvert un exécutable non déclaré nommé 'me.exe' installé dans certains cas sous `C:\Program Files\Hola\`. Ce fichier manquait de certification, d'horodatage et de signature numérique. De plus, il contenait du code obfusqué et présentait des capacités d'écriture en mémoire. Après un examen plus approfondi, **Sophos** a confirmé la véritable nature du binaire comme étant un mineur de cryptomonnaie **Monero**. Le malware a été trouvé pour ajouter une règle d'exclusion **Windows Defender**, se copier dans `Program Files` sous le nom 'HolaMonitorService.exe', établir un service Windows à démarrage automatique nommé 'hola_monitor_svc', et s'activer lorsque l'ordinateur hôte était inactif. ### Réponse et efforts de remédiation de Hola **Hola** a été rapidement informé des conclusions par **AppEsteem** et a confirmé le compromis de la chaîne d'approvisionnement. Cette violation a également été détectée indépendamment par la société de cybersécurité **Sygnia**. Malgré l'incident, **Hola** affirme que seulement environ 0,1% de sa base d'utilisateurs a été affectée. L'entreprise déclare également qu'il n'y a aucune preuve d'accès, de vol ou de compromission plus large des données des utilisateurs. Le PDG de **Hola**, **Avi Raz Cohen**, a assuré aux utilisateurs des améliorations significatives en matière de sécurité : « Nous avons depuis entièrement reconstruit notre pipeline de distribution, mis en œuvre une vérification avancée de la signature de code, et introduit des contrôles d'accès plus stricts et une surveillance continue sur notre infrastructure. » Il a ajouté : « Ces mesures sont conçues pour garantir que seuls les composants déclarés, certifiés et signés soient jamais livrés à nos utilisateurs. » Au moment de la publication, les demandes d'informations supplémentaires concernant l'origine de la violation, les auteurs ou l'impact potentiel sur d'autres plateformes n'ont pas reçu de réponse de **Hola**.