Onze extensions malveillantes ont pris d’assaut Google Chrome, infectant ainsi 1,7 million d’internautes en France. Vérifiées par Google, elles dissimulaient un code espion capable de suivre la navigation des utilisateurs et de les rediriger vers des pages web frauduleuses.
Découverte des extensions malveillantes
Les chercheurs de Koi Security ont identifié **onze extensions** malveillantes sur le Chrome Web Store, la boutique officielle de Google. Malgré leurs activités néfastes, ces extensions ont parfois reçu de nombreux avis positifs et ont même été mises en avant par Google. Grâce à ces manœuvres, elles ont accumulé **1,7 million de téléchargements**. Koi Security note que les attaquants ont _« exploité avec succès tous les signaux de confiance sur lesquels les utilisateurs s’appuient »_.
Fonctionnalités malveillantes des extensions
Les recherches montrent que ces extensions contiennent des fonctionnalités malveillantes destinées à pister les internautes. Un code espion a été intégré dans un composant appelé _service worker_, qui se déclenche automatiquement à chaque ouverture d’une nouvelle page web. Avec ce code, les extensions peuvent **enregistrer l’URL de toutes les pages visitées** et rediriger les utilisateurs vers d’autres sites.
Comment les extensions ont réussi à tromper Google
Pour contourner les mécanismes de sécurité de Google, les extensions sont initialement soumises au Web Store sans leurs fonctions malveillantes. Ces dernières sont ajoutées ultérieurement via des mises à jour. À leur validation, elles apparaissent comme inoffensives. Pour apaiser la méfiance, elles fonctionnent normalement après installation, offrant toutes les fonctionnalités promises tout en exhibant un comportement sans anomalie pendant plusieurs années, ce qui leur a permis d’obtenir le badge vérifié de Google.
Liste des extensions à désinstaller
Parmi les extensions identifiées, on trouve des outils populaires de productivité ou de divertissement, tels que :
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Unlock TikTok
- Weather
Si vous avez installé l’une de ces extensions, il est conseillé de la désinstaller immédiatement.
Une opération malveillante touchant également Microsoft Edge
Suite à l’alerte des chercheurs, Google a supprimé toutes ces extensions de sa plateforme. De plus, **sept extensions Microsoft Edge** malveillantes ont également été découvertes sur la boutique de Microsoft. Selon Koi Security, ces extensions font partie de _« RedDirection, un réseau sophistiqué, multiplateforme, composé de 18 extensions malveillantes »_, partageant _« la même fonctionnalité de détournement de navigation »_. Cette opération a déjà enregistré plus de deux millions de téléchargements, illustrant ainsi que le modèle de sécurité actuel du marché des extensions est profondément défectueux.