Discussion :

[Stéphane le calme]

Quand 4,3 millions d’utilisateurs se font piéger : des extensions « légitimes » Chrome et Edge ont attendu des années
avant d’activer backdoors et spyware dans un silence total

L’affaire aurait pu rester invisible encore longtemps si plusieurs équipes de chercheurs n’avaient pas fini par comprendre qu’un réseau d’extensions « tout à fait banales » pour Chrome et Microsoft Edge, actives depuis parfois plus de trois ans, dissimulait en réalité un mécanisme de compromission à retardement. Avec 4,3 millions d’utilisateurs touchés, cette opération démontre à quel point l’écosystème des extensions navigateurs est devenu un terrain d’attaque sophistiqué, patient et diablement efficace. Les professionnels de la cybersécurité y voient désormais l’un des vecteurs les plus sous-estimés de la menace moderne.

Contexte

Une campagne malveillante menée pendant sept ans à l'aide d'extensions de navigateur a infecté 4,3 millions d'utilisateurs de Google Chrome et Microsoft Edge avec des logiciels malveillants, notamment des portes dérobées et des logiciels espions qui envoyaient les données des utilisateurs vers des serveurs situés en Chine. Et, selon les chercheurs de Koi, cinq des extensions ayant été installées plus de 4 millions de fois sont toujours disponibles sur la boutique Edge.

Les pirates, que Koi a baptisés ShadyPanda, ont joué la carte de la patience : ils ont publié des extensions légitimes, accumulant des milliers, voire des millions de téléchargements sur plusieurs années, puis ont diffusé une mise à jour contenant des logiciels malveillants qui s'installait automatiquement sur tous les appareils des utilisateurs.

Comme les deux marketplaces examinent les extensions lors de leur soumission (il ne s'agit pas d'un processus continu), ces outils de productivité apparemment exceptionnels, dont certains bénéficiaient du statut « Featured » (Recommandé) et « Verified » (Vérifié) ainsi que d'avis élogieux de la part des utilisateurs et d'un nombre élevé d'installations, ont pu suivre le comportement des utilisateurs et voler des informations sensibles en toute discrétion pendant des années.

« Pas de phishing. Pas d'ingénierie sociale. Juste des extensions fiables avec des mises à jour discrètes qui ont transformé des outils de productivité en plateformes de surveillance », a déclaré l'équipe de recherche des menaces dans un blog publié lundi.

La menace invisible : quand le temps joue pour les attaquants

Les extensions incriminées ne sont pas apparues comme des malwares classiques. Elles ont d’abord offert un réel service, parfois très utile, souvent très simple : convertisseurs de fichiers, comparateurs de prix, outils PDF, widgets météo. Rien qui ne puisse déclencher la méfiance d’un utilisateur, et encore moins celle d’une équipe IT habituée aux add-ons répandus dans les environnements de travail.

Ce qui rend l’opération unique est la temporalité. Les extensions ont attendu. Plusieurs mois, parfois plusieurs années. Cette patience leur a permis de bâtir une réputation légitime, d’obtenir de bonnes évaluations, d’être recommandées sur des forums, voire parfois intégrées aux environnements professionnels sans alerte. Un scénario parfait pour une attaque différée et massive.

Les chercheurs de Koi ont identifié un acteur malveillant que nous avons baptisé ShadyPanda, responsable d'une campagne de sept ans visant les extensions de navigateur qui a infecté 4,3 millions d'utilisateurs de Chrome et Edge.

Notre enquête a mis au jour deux opérations actives :

Une porte dérobée RCE touchant 300 000 utilisateurs : cinq extensions, dont Clean Master « Featured » et « Verified », ont été détournées à des fins malveillantes mi-2024 après avoir fonctionné légitimement pendant des années. Ces extensions exécutent désormais toutes les heures du code à distance, téléchargeant et exécutant du JavaScript arbitraire avec un accès complet au navigateur. Elles surveillent chaque visite sur un site web, exfiltrent l'historique de navigation crypté et collectent les empreintes digitales complètes du navigateur.

Une opération de spyware touchant 4 millions d'utilisateurs : cinq extensions supplémentaires du même éditeur, dont WeTab avec 3 millions d'installations à lui seul, collectent activement toutes les URL visitées, les requêtes de recherche et les clics de souris, et transmettent les données à des serveurs en Chine.

Certaines extensions de ShadyPanda ont été présentées et vérifiées par Google, ce qui leur a valu une confiance immédiate et une distribution massive. Pendant sept ans, cet acteur a appris à exploiter les marchés des navigateurs à des fins malveillantes, en instaurant la confiance, en accumulant des utilisateurs et en frappant par le biais de mises à jour silencieuses.

L’activation du code malveillant : un interrupteur après des années de sommeil

Les chercheurs expliquent que le déclenchement du code malveillant s’est fait via des mises à jour entièrement conformes au mécanisme de distribution officiel du Chrome Web Store et de l’Edge Add-ons Store. Aucune vulnérabilité n’a été exploitée : les attaquants ont tout simplement profité de la confiance accordée par les utilisateurs.

Derrière ces mises à jour, les extensions se sont transformées en plateformes d’espionnage. Elles ajoutaient progressivement des fonctions de backdoor, siphonnaient des données de navigation et exécutaient du code venant de serveurs command-and-control soigneusement masqués. Certaines extensions allaient jusqu’à manipuler les requêtes web, injecter des publicités invisibles ou détourner des sessions authentifiées.

Des campagnes qui étaient toujours actives quand Koi a rédigé son billet

Koi a suivi l'activité de ShadyPanda en plusieurs phases et affirme que deux campagnes sont toujours actives.

L'une de ces campagnes comprenait cinq extensions qui ont infecté 300 000 utilisateurs avec une porte dérobée permettant l'exécution de code à distance. Trois des cinq extensions ont été téléchargées entre 2018 et 2019 et ont obtenu le statut « Featured » (Recommandé) et « Verified » (Vérifié). L'une de ces extensions, appelée Clean Master et publiée par Starlab Technology, compte plus de 200 000 installations.

Au milieu de l'année 2024, après avoir été téléchargée plus de 300 000 fois, ShadyPanda a diffusé une mise à jour malveillante contenant une porte dérobée sur les cinq extensions fonctionnant sur Chrome et Edge. Bien que les extensions aient depuis été retirées des deux boutiques en ligne, « l'infrastructure nécessaire à des attaques à grande échelle reste déployée sur tous les navigateurs infectés », ont écrit les chercheurs.

Le logiciel malveillant permet une surveillance complète du navigateur, vérifiant toutes les heures si de nouvelles instructions sont disponibles sur api.extensionplay[.]com, téléchargeant des scripts JavaScript arbitraires et les exécutant avec un accès complet à l'API du navigateur. Il peut également injecter du contenu malveillant dans n'importe quel site web, y compris les connexions HTTPS.

Clean Master envoie ensuite toutes ces données volées (chaque URL visitée, les référents HTTP indiquant les habitudes de navigation, les horodatages pour le profilage des activités, les identifiants UUID4 persistants et les empreintes digitales complètes du navigateur) aux serveurs contrôlés par ShadyPanda.

De plus, le logiciel malveillant contient des capacités anti-analyse et passe à un comportement bénin si un chercheur ouvre les outils de développement.

Les places de marché qui gèrent les extensions « ne surveillent pas ce qui se passe après l'approbation »

Cinq autres extensions du même éditeur ont été lancées sur Edge vers 2023 et comptent désormais plus de quatre millions d'installations combinées. Lorsque Koi a rédigé son billet lundi, les cinq étaient toujours disponibles sur la boutique Edge, et deux d'entre elles installaient des logiciels espions sur les machines des utilisateurs.

L'une d'entre elles, WeTab, compte trois millions d'installations. Il s'agit d'une plateforme de surveillance déguisée en outil de productivité qui récupère toutes sortes de données utilisateur : chaque URL visitée, les requêtes de recherche, le suivi des clics de souris, les empreintes digitales du navigateur, les données d'interaction avec les pages et l'accès au stockage. Elle envoie ensuite toutes ces informations en temps réel à 17 domaines différents (8 serveurs Baidu en Chine, 7 serveurs WeTab en Chine et Google Analytics).

« L'extension dispose déjà d'autorisations dangereuses, notamment l'accès à toutes les URL et tous les cookies, et les utilisateurs sont en train de la télécharger en ce moment même », ont écrit les chercheurs. « ShadyPanda peut pousser des mises à jour à tout moment, transformant 4 millions de navigateurs en armes avec le même cadre de porte dérobée RCE [de Clean Master] ou quelque chose d'encore pire. »

Koi a également retracé ShadyPanda jusqu'à deux campagnes antérieures, désormais inactives. L'une d'entre elles, qui s'est déroulée en 2023, comprenait 20 extensions Chrome Web Store et 125 extensions Microsoft Edge, toutes déguisées en fonds d'écran ou en applications de productivité.

Cette campagne fonctionnait en suivant et en monétisant silencieusement les données de navigation des utilisateurs. Lorsqu'un utilisateur cliquait sur eBay, Amazon ou Booking.com, les extensions injectaient des codes de suivi d'affiliation et des traceurs Google Analytics, qui étaient ensuite enregistrés et utilisés pour vendre les visites et les requêtes de recherche des utilisateurs.

Une deuxième campagne inactive datant du début de l'année 2023 était également déguisée en un nouvel outil de productivité appelé Infinity V+. Elle redirigeait toutes les recherches des utilisateurs vers le site web trovi.com, qui détournait le navigateur, exfiltrait les cookies et enregistrait les frappes des utilisateurs dans le champ de recherche, avant d'envoyer toutes ces informations à des serveurs externes.

Selon les chercheurs, toutes ces campagnes ShadyPanda illustrent un problème dans la manière dont les places de marché gèrent les extensions. « Elles ne surveillent pas ce qui se passe après l'approbation », ont-ils écrit.

Google et Microsoft face au casse-tête des stores d’extensions

Cette affaire relance un débat que les deux entreprises auraient préféré éviter : l’extrême difficulté à sécuriser un écosystème reposant sur des extensions publiées par des milliers de développeurs.

Un porte-parole de Google a confirmé qu'aucune de ces extensions n'était disponible sur le Chrome Web Store, et assure que Google examine chaque mise à jour des extensions du Chrome Store, même les plus mineures.

Un porte-parole de Microsoft a déclaré : « Nous avons supprimé toutes les extensions identifiées comme malveillantes sur le Edge Add-on Store. Lorsque nous constatons des violations de nos politiques, nous prenons les mesures appropriées, qui comprennent, sans s'y limiter, la suppression du contenu interdit ou la résiliation de notre contrat de publication. »

Pourtant, la question reste entière : comment empêcher qu’un développeur parfaitement légitime ne « bascule » son extension vers un comportement malveillant deux ans après sa publication ?

La réalité est que ni Google ni Microsoft ne disposent d’un mécanisme fiable permettant d’auditer en continu les mises à jour publiées par les éditeurs. Tant que l’extension respecte l’API, signe son code et déclare des permissions compatibles avec sa fonction apparente, elle passera les contrôles.

Une attaque qui marque une montée en complexité dans le malware moderne

Ce cas illustre une transformation profonde du paradigme malware. Là où les attaquants utilisaient autrefois des campagnes bruyantes, courtes et massives, ils privilégient désormais la durée, l’intégration à l’écosystème, la dissimulation et la patience.

Les extensions malveillantes ne cherchent plus seulement à infecter un utilisateur : elles veulent s’implanter comme une présence familière. Le fait qu’elles aient attendu des années avant d’activer leur charge utile montre une maturité opérationnelle proche des campagnes APT.

Pour les entreprises, cette sophistication est un signal d’alarme. Une politique de sécurité ne peut plus se limiter à des antivirus et à des filtres web. Elle doit inclure un contrôle strict des extensions navigateur, une revue régulière des permissions et, lorsqu’il s’agit d’environnements sensibles, une politique de whitelisting drastique.

Source : Koi

Voir aussi :

Comment une extension peut-elle rester dormante plusieurs années sans déclencher la moindre alerte ?

Dans quelle mesure les entreprises sont-elles aujourd’hui capables de contrôler l’usage des extensions navigateur par leurs employés ?

Vient ensuite le sujet sensible du Zero Trust. Le modèle s’applique-t-il encore lorsque le navigateur concentre la majorité des accès SaaS, mais que son écosystème d’extensions reste totalement poreux ?

Pourquoi les entreprises continuent-elles à considérer les extensions comme de simples outils front-end, alors que certaines ont désormais plus de permissions et plus de visibilité qu’un agent EDR classique ?

Jusqu’où Google et Microsoft doivent-ils aller pour empêcher un éditeur légitime de basculer son extension vers un comportement malveillant des années après sa publication ?

[Fagus]

Il vaut mieux avoir le minimum d'extension activées, et dès qu'on saisit un mot de passe sérieux, passer en navigation privée pour toutes les désactiver.

[phil995511]

Google ne fait vraisemblablement pas correctement son travail de prévention au niveau des extensions Chrome qu'ils mettent à disposition sur leur store... ;-(

[kain_tn]

Google ne fait vraisemblablement pas correctement son travail de prévention au niveau des extensions Chrome qu'ils mettent à disposition sur leur store... ;-(

Aucune des GAFAM ne fait de travail de prévention. Ils ne font que de la communication.

Il n'y a qu'à voir le Google Play, ou bien encore le marketplace Microsoft pour VisualStudio. C'est truffé d'applications / plugins malveillants, et ils ne font rien à part dire qu'ils scannent et prennent des mesures contre ça...

[_toma_]

Moi ce qui m'interpelle surtout dans cette actualité c'est le commanditaire de l'attaque.
De ce que je comprends il ne s'agit pas d'une campagne ciblée visant à récupérer certaines données/saboter telle ou telle installation. Il s'agit d'une campagne visant à collecter des données personnelles de navigation.
Les destinataires de ces données volées sont donc des data brokers ?

[OrthodoxWindows]

Il vaut mieux avoir le minimum d'extension activées, et dès qu'on saisit un mot de passe sérieux, passer en navigation privée pour toutes les désactiver.

Sauf que certaines extensions jouent au contraire un rôle de protection pour l'utilisateur (NoScript, UBlock, DecentralEye...)
Je pense que le mieux, et d'utiliser des extensions open-source, et un gestionnaire de scripts (type Greasemonky), pour les petites modifications

[-Lex-]

Aucune des GAFAM ne fait de travail de prévention. Ils ne font que de la communication.

Il n'y a qu'à voir le Google Play, ou bien encore le marketplace Microsoft pour VisualStudio. C'est truffé d'applications / plugins malveillants, et ils ne font rien à part dire qu'ils scannent et prennent des mesures contre ça...

Pour être honnête, je ne pense pas que Mozilla AMO soit beaucoup plus sécurisé à ce sujet. Il y a quelques années en tout cas il n'y avait pas de détection proactive du code malveillant. Tout est basé sur le bon vouloir des utilisateurs et de quelques modérateurs qui font le travail de relecture. Les extensions recommandées étaient évaluées de temps en temps mais toujours a posteriori, après la mise en public.

D'une manière générale les applications open-source sont à privilégier mais, même si le dépôt de code a été audité il n'y a pas de garantie que le code qui tourne actuellement dans votre navigateur est bien celui du dépôt...

Pendant des années on disait que l'hétérogénéité des navigateurs constituait une protection en plus d'une stratégie de lutte contre une situation de monopole des GAFAM vis à vis des standards du web. Aujourd'hui Microsoft a basculé vers une base Chromium, tout comme Opera. Cela simplifie la vie des acteurs malveillants qui n'ont qu'à développer pour une plateforme pour toucher plus de 75% des utilisateurs. Quand la fondation Mozilla aura coulé, emportant Firefox avec elle, la situation sera encore pire (de 2%...).

[schlebe]

Je me rappelle avoir développé une partie d'application J2EE que le client avait mis en place et qui contenait plus de 100 modules différents provenant du libre.

Le client les utilisait et les téléchargeait sans y faire plus attention.
Le développeur pouvait télécharger ce qu'il voulait du .Net et l'utiliser dans son développement.
Lorsque le développement était fini, le nouveau module était intégré dans les répertoires centraux de l'entreprise pour d'autres développements.

Cela a permis au développement Java de s'étendre rapidement et de dépasser rapidement Microsoft (.Net).

Maintenant Microsoft fait la même chose avec les paquets Nuget et je ne serai pas surpris si dans 5 ans Développez.com publie un article sur le piratage de grosses sociétés pour avoir utiliser aveuglément des logiciels libres !

Qui vivra ... verra.

[Jade Emy]

Le groupe de pirates informatiques chinois DarkSpectre a mené une campagne de malwares pendant 7 ans, infectant 8,8 millions de navigateurs tels que Chrome, Edge, Firefox et Opera via des extensions trompeuses

Un groupe de pirates informatiques lié à la Chine, DarkSpectre, a mené pendant sept ans une campagne de logiciels malveillants qui a infecté 8,8 millions de navigateurs tels que Chrome, Edge, Firefox et Opera via des extensions trompeuses. Ces dernières ont volé des données sensibles, notamment des frappes clavier et des détails de réunions Zoom, à des fins d'espionnage potentiel. Cette violation met en évidence les vulnérabilités des navigateurs, ce qui incite à renforcer les mesures de sécurité et la vigilance des utilisateurs.

Dans les recoins obscurs du monde numérique, une cybermenace sophistiquée a fait son apparition, jetant une ombre sur des millions d'internautes. L’affaire aurait pu rester invisible encore longtemps si plusieurs équipes de chercheurs n’avaient pas fini par comprendre qu’un réseau d’extensions « tout à fait banales » pour Chrome et Microsoft Edge, actives depuis parfois plus de trois ans, dissimulait en réalité un mécanisme de compromission à retardement. Avec 4,3 millions d’utilisateurs touchés, cette opération démontre à quel point l’écosystème des extensions navigateurs est devenu un terrain d’attaque sophistiqué, patient et diablement efficace. Les professionnels de la cybersécurité y voient désormais l’un des vecteurs les plus sous-estimés de la menace moderne.

Récemment, un rapport a révélé qu'un groupe de pirates informatiques lié à la Chine, connu sous le nom de DarkSpectre, a orchestré l'une des campagnes de logiciels malveillants les plus importantes de l'histoire récente, infectant plus de 8,8 millions d'utilisateurs de navigateurs web populaires, notamment Google Chrome, Microsoft Edge, Mozilla Firefox et même Opera. Cette opération, qui s'est étendue sur sept ans, impliquait des extensions de navigateur malveillantes qui collectaient discrètement des données sensibles, allant de l'historique de navigation aux informations commerciales.

L'ampleur de la campagne est stupéfiante, DarkSpectre employant des tactiques coordonnées pour distribuer des logiciels malveillants via des extensions apparemment légitimes. Les chercheurs en sécurité ont découvert les activités du groupe pour la première fois fin 2025, les reliant à une série d'infections qui ont commencé dès 2018. En se faisant passer pour des outils utiles tels que des bloqueurs de publicités ou des outils d'amélioration de la productivité, ces extensions ont gagné la confiance des utilisateurs avant de se retourner contre eux. Une fois installées, elles exfiltraient des données vers des serveurs distants contrôlés par les pirates, souvent sans que les utilisateurs ne remarquent immédiatement quoi que ce soit d'anormal. Cette méthode a permis à DarkSpectre d'amasser une vaste quantité d'informations, potentiellement à des fins d'espionnage ou de gain financier.

Un rapport a décrit comment le groupe ciblait les utilisateurs sur plusieurs plateformes. Le logiciel malveillant ne se contentait pas de voler des mots de passe ou des cookies ; il allait plus loin, capturant des captures d'écran, des frappes au clavier et même des détails provenant de réunions en ligne. Dans une variante, baptisée « Zoom Stealer », les extensions récoltaient des données provenant de sessions de vidéoconférence, notamment des URL, des identifiants de réunion et des mots de passe intégrés.

Ce niveau d'intrusion soulève des inquiétudes quant à la sécurité des entreprises, celles-ci s'appuyant de plus en plus sur des outils basés sur des navigateurs pour le travail à distance. Ces révélations interviennent à un moment où la sécurité des navigateurs fait l'objet d'une attention particulière, mettant en évidence des vulnérabilités que même les géants de la technologie ont du mal à contenir.

Dévoilement des opérateurs fantômes

Selon les experts en cybersécurité qui ont analysé l'infrastructure de commande et de contrôle, les origines de DarkSpectre remontent à la Chine. Les techniques du groupe portent la marque d'opérations parrainées par l'État, bien que l'attribution définitive reste difficile à établir. Au fil des ans, ils ont mené trois campagnes distinctes, chacune affinant leur approche pour échapper à la détection. La première vague consistait à publier des extensions inoffensives sur des boutiques officielles telles que le Chrome Web Store, afin de constituer une base d'utilisateurs avant de diffuser des mises à jour malveillantes. Cette tactique d'appât et de substitution exploitait la confiance des utilisateurs dans les marchés vérifiés.

Les campagnes suivantes sont devenues plus audacieuses, intégrant des mécanismes de persistance avancés. Les logiciels malveillants détournaient les sessions de navigation, injectant du code qui survivait aux redémarrages et aux mises à jour. Les utilisateurs de Firefox, souvent considérés comme plus soucieux de leur vie privée, n'ont pas été épargnés ; des extensions adaptées au navigateur ont siphonné les données avec la même efficacité. ces infections se sont propagées grâce à l'ingénierie sociale, attirant les utilisateurs avec la promesse d'une expérience de navigation améliorée. Il en a résulté un réseau d'appareils compromis, qui fournissait des informations aux responsables de DarkSpectre.

L'élément humain dans cette saga ne peut être négligé. De nombreuses victimes étaient des utilisateurs lambda, mais l'accent mis par la campagne sur les données d'entreprise suggère une approche d'espionnage ciblée. Des extensions telles que celles imitant les VPN ou les gestionnaires de mots de passe populaires ont collecté des identifiants dans des environnements d'entreprise. Dans des publications sur les réseaux sociaux, des passionnés de cybersécurité ont exprimé leur choc face à la durée de la violation, l'un d'entre eux soulignant que ShadyPanda, un acteur potentiellement lié, avait également utilisé des extensions à des fins malveillantes après avoir gagné en popularité. Ce schéma souligne une tendance plus large selon laquelle les pirates exploitent les faiblesses de l'écosystème des extensions.

Les mécanismes de la tromperie numérique

En se plongeant dans les fondements techniques, le logiciel malveillant DarkSpectre a exploité les API des navigateurs pour accéder à des informations sensibles sans déclencher d'alerte. Pour Chrome et Edge, qui partagent le moteur Chromium, le groupe a utilisé des exploits de version manifeste pour contourner les contrôles d'autorisation. Les extensions Firefox, construites sur une architecture différente, nécessitaient des charges utiles personnalisées, impliquant souvent des API WebExtensions pour l'exfiltration de données. Opera, bien que moins souvent ciblé, a été victime d'extensions compatibles qui reflétaient celles d'autres plateformes.

Le processus d'infection commençait généralement par le téléchargement d'une extension depuis une boutique officielle ou une publicité trompeuse par l'utilisateur. Une fois active, elle communiquait avec des serveurs de commande, recevant des instructions pour collecter des types de données spécifiques. Dans certains cas, le logiciel malveillant utilisait le chiffrement pour masquer le trafic sortant, ce qui rendait sa détection plus difficile pour les moniteurs réseau. Au cours des sept dernières années, ces campagnes ont évolué, intégrant des vulnérabilités zero-day pour maintenir leur persistance même après les mises à jour des navigateurs.

La comparaison avec les menaces passées met en lumière la sophistication de DarkSpectre. Contrairement aux attaques brutales comme les ransomwares, il s'agissait d'une opération subtile et de longue haleine qui rappelait la violation de SolarWinds. Des rapports ont souligné les similitudes avec des logiciels malveillants antérieurs qui avaient exfiltré des données de plusieurs navigateurs, qualifiant l'un de ces incidents de « plus grand vol de données de l'histoire ». Avec 8,8 millions d'utilisateurs touchés, DarkSpectre est en passe de remporter ce titre douteux, avec des implications pour la confidentialité à l'échelle mondiale.

Des répercussions dans les couloirs des entreprises

Les répercussions des activités de DarkSpectre se sont fait sentir dans les salles de réunion et les services informatiques du monde entier. Les entreprises ont découvert que des données sensibles relatives à des réunions, notamment des sessions Zoom, avaient été compromises, exposant potentiellement des secrets commerciaux ou des plans stratégiques. Selon un rapport, 2,2 millions d'utilisateurs auraient été touchés par la seule variante Zoom Stealer, qui a récolté des informations telles que les sujets des réunions et les listes de participants. Cela a conduit à une révision urgente des politiques d'utilisation des navigateurs dans les entreprises, certaines d'entre elles interdisant purement et simplement les extensions.

Les réponses réglementaires commencent à prendre forme. Aux États-Unis, des agences telles que la Cybersecurity and Infrastructure Security Agency (CISA) exhortent les fournisseurs de navigateurs à renforcer les processus d'examen des extensions. Google, Microsoft et Mozilla ont supprimé les extensions impliquées, mais le mal est déjà fait pour beaucoup. Si les extensions liées au cannabis et à la psilocybine n'étaient pas directement impliquées, les vulnérabilités de l'écosystème au sens large ont permis un abus aussi généralisé.

Les discussions entre professionnels de la technologie révèlent une frustration croissante à l'égard des modèles de sécurité des navigateurs. Un article a averti que 80 % des cyberincidents commencent dans le navigateur, citant des groupes tels que Scattered Spider qui détournent des sessions. La campagne de DarkSpectre amplifie cette préoccupation, en montrant comment les extensions peuvent servir de chevaux de Troie pour l'espionnage. Il est conseillé aux utilisateurs de vérifier régulièrement les extensions qu'ils ont installées et d'activer des fonctionnalités telles que la navigation sécurisée améliorée.

Source : Rapport sur DarkSpectre

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Google Chrome, Microsoft Edge et Brave contiennent une extension cachée par défaut qui permet au code sur *.google.com d'accéder à des API privées, y compris des informations sur l'utilisation du processeur

Les extensions de navigateur vous espionnent, même si leurs développeurs ne le font pas, par Robert Vitonsky

Le «pire piratage des USA» : Salt Typhoon a infiltré les principaux réseaux de télécoms, démontrant pourquoi les portes dérobées intégrées volontairement aux systèmes chiffrés ne doivent jamais être autorisées