Discussion :

[Stéphane le calme]

Quand 4,3 millions d’utilisateurs se font piéger : des extensions « légitimes » Chrome et Edge ont attendu des années
avant d’activer backdoors et spyware dans un silence total

L’affaire aurait pu rester invisible encore longtemps si plusieurs équipes de chercheurs n’avaient pas fini par comprendre qu’un réseau d’extensions « tout à fait banales » pour Chrome et Microsoft Edge, actives depuis parfois plus de trois ans, dissimulait en réalité un mécanisme de compromission à retardement. Avec 4,3 millions d’utilisateurs touchés, cette opération démontre à quel point l’écosystème des extensions navigateurs est devenu un terrain d’attaque sophistiqué, patient et diablement efficace. Les professionnels de la cybersécurité y voient désormais l’un des vecteurs les plus sous-estimés de la menace moderne.

Contexte

Une campagne malveillante menée pendant sept ans à l'aide d'extensions de navigateur a infecté 4,3 millions d'utilisateurs de Google Chrome et Microsoft Edge avec des logiciels malveillants, notamment des portes dérobées et des logiciels espions qui envoyaient les données des utilisateurs vers des serveurs situés en Chine. Et, selon les chercheurs de Koi, cinq des extensions ayant été installées plus de 4 millions de fois sont toujours disponibles sur la boutique Edge.

Les pirates, que Koi a baptisés ShadyPanda, ont joué la carte de la patience : ils ont publié des extensions légitimes, accumulant des milliers, voire des millions de téléchargements sur plusieurs années, puis ont diffusé une mise à jour contenant des logiciels malveillants qui s'installait automatiquement sur tous les appareils des utilisateurs.

Comme les deux marketplaces examinent les extensions lors de leur soumission (il ne s'agit pas d'un processus continu), ces outils de productivité apparemment exceptionnels, dont certains bénéficiaient du statut « Featured » (Recommandé) et « Verified » (Vérifié) ainsi que d'avis élogieux de la part des utilisateurs et d'un nombre élevé d'installations, ont pu suivre le comportement des utilisateurs et voler des informations sensibles en toute discrétion pendant des années.

« Pas de phishing. Pas d'ingénierie sociale. Juste des extensions fiables avec des mises à jour discrètes qui ont transformé des outils de productivité en plateformes de surveillance », a déclaré l'équipe de recherche des menaces dans un blog publié lundi.

La menace invisible : quand le temps joue pour les attaquants

Les extensions incriminées ne sont pas apparues comme des malwares classiques. Elles ont d’abord offert un réel service, parfois très utile, souvent très simple : convertisseurs de fichiers, comparateurs de prix, outils PDF, widgets météo. Rien qui ne puisse déclencher la méfiance d’un utilisateur, et encore moins celle d’une équipe IT habituée aux add-ons répandus dans les environnements de travail.

Ce qui rend l’opération unique est la temporalité. Les extensions ont attendu. Plusieurs mois, parfois plusieurs années. Cette patience leur a permis de bâtir une réputation légitime, d’obtenir de bonnes évaluations, d’être recommandées sur des forums, voire parfois intégrées aux environnements professionnels sans alerte. Un scénario parfait pour une attaque différée et massive.

Les chercheurs de Koi ont identifié un acteur malveillant que nous avons baptisé ShadyPanda, responsable d'une campagne de sept ans visant les extensions de navigateur qui a infecté 4,3 millions d'utilisateurs de Chrome et Edge.

Notre enquête a mis au jour deux opérations actives :

Une porte dérobée RCE touchant 300 000 utilisateurs : cinq extensions, dont Clean Master « Featured » et « Verified », ont été détournées à des fins malveillantes mi-2024 après avoir fonctionné légitimement pendant des années. Ces extensions exécutent désormais toutes les heures du code à distance, téléchargeant et exécutant du JavaScript arbitraire avec un accès complet au navigateur. Elles surveillent chaque visite sur un site web, exfiltrent l'historique de navigation crypté et collectent les empreintes digitales complètes du navigateur.

Une opération de spyware touchant 4 millions d'utilisateurs : cinq extensions supplémentaires du même éditeur, dont WeTab avec 3 millions d'installations à lui seul, collectent activement toutes les URL visitées, les requêtes de recherche et les clics de souris, et transmettent les données à des serveurs en Chine.

Certaines extensions de ShadyPanda ont été présentées et vérifiées par Google, ce qui leur a valu une confiance immédiate et une distribution massive. Pendant sept ans, cet acteur a appris à exploiter les marchés des navigateurs à des fins malveillantes, en instaurant la confiance, en accumulant des utilisateurs et en frappant par le biais de mises à jour silencieuses.

L’activation du code malveillant : un interrupteur après des années de sommeil

Les chercheurs expliquent que le déclenchement du code malveillant s’est fait via des mises à jour entièrement conformes au mécanisme de distribution officiel du Chrome Web Store et de l’Edge Add-ons Store. Aucune vulnérabilité n’a été exploitée : les attaquants ont tout simplement profité de la confiance accordée par les utilisateurs.

Derrière ces mises à jour, les extensions se sont transformées en plateformes d’espionnage. Elles ajoutaient progressivement des fonctions de backdoor, siphonnaient des données de navigation et exécutaient du code venant de serveurs command-and-control soigneusement masqués. Certaines extensions allaient jusqu’à manipuler les requêtes web, injecter des publicités invisibles ou détourner des sessions authentifiées.

Des campagnes qui étaient toujours actives quand Koi a rédigé son billet

Koi a suivi l'activité de ShadyPanda en plusieurs phases et affirme que deux campagnes sont toujours actives.

L'une de ces campagnes comprenait cinq extensions qui ont infecté 300 000 utilisateurs avec une porte dérobée permettant l'exécution de code à distance. Trois des cinq extensions ont été téléchargées entre 2018 et 2019 et ont obtenu le statut « Featured » (Recommandé) et « Verified » (Vérifié). L'une de ces extensions, appelée Clean Master et publiée par Starlab Technology, compte plus de 200 000 installations.

Au milieu de l'année 2024, après avoir été téléchargée plus de 300 000 fois, ShadyPanda a diffusé une mise à jour malveillante contenant une porte dérobée sur les cinq extensions fonctionnant sur Chrome et Edge. Bien que les extensions aient depuis été retirées des deux boutiques en ligne, « l'infrastructure nécessaire à des attaques à grande échelle reste déployée sur tous les navigateurs infectés », ont écrit les chercheurs.

Le logiciel malveillant permet une surveillance complète du navigateur, vérifiant toutes les heures si de nouvelles instructions sont disponibles sur api.extensionplay[.]com, téléchargeant des scripts JavaScript arbitraires et les exécutant avec un accès complet à l'API du navigateur. Il peut également injecter du contenu malveillant dans n'importe quel site web, y compris les connexions HTTPS.

Clean Master envoie ensuite toutes ces données volées (chaque URL visitée, les référents HTTP indiquant les habitudes de navigation, les horodatages pour le profilage des activités, les identifiants UUID4 persistants et les empreintes digitales complètes du navigateur) aux serveurs contrôlés par ShadyPanda.

De plus, le logiciel malveillant contient des capacités anti-analyse et passe à un comportement bénin si un chercheur ouvre les outils de développement.

Les places de marché qui gèrent les extensions « ne surveillent pas ce qui se passe après l'approbation »

Cinq autres extensions du même éditeur ont été lancées sur Edge vers 2023 et comptent désormais plus de quatre millions d'installations combinées. Lorsque Koi a rédigé son billet lundi, les cinq étaient toujours disponibles sur la boutique Edge, et deux d'entre elles installaient des logiciels espions sur les machines des utilisateurs.

L'une d'entre elles, WeTab, compte trois millions d'installations. Il s'agit d'une plateforme de surveillance déguisée en outil de productivité qui récupère toutes sortes de données utilisateur : chaque URL visitée, les requêtes de recherche, le suivi des clics de souris, les empreintes digitales du navigateur, les données d'interaction avec les pages et l'accès au stockage. Elle envoie ensuite toutes ces informations en temps réel à 17 domaines différents (8 serveurs Baidu en Chine, 7 serveurs WeTab en Chine et Google Analytics).

« L'extension dispose déjà d'autorisations dangereuses, notamment l'accès à toutes les URL et tous les cookies, et les utilisateurs sont en train de la télécharger en ce moment même », ont écrit les chercheurs. « ShadyPanda peut pousser des mises à jour à tout moment, transformant 4 millions de navigateurs en armes avec le même cadre de porte dérobée RCE [de Clean Master] ou quelque chose d'encore pire. »

Koi a également retracé ShadyPanda jusqu'à deux campagnes antérieures, désormais inactives. L'une d'entre elles, qui s'est déroulée en 2023, comprenait 20 extensions Chrome Web Store et 125 extensions Microsoft Edge, toutes déguisées en fonds d'écran ou en applications de productivité.

Cette campagne fonctionnait en suivant et en monétisant silencieusement les données de navigation des utilisateurs. Lorsqu'un utilisateur cliquait sur eBay, Amazon ou Booking.com, les extensions injectaient des codes de suivi d'affiliation et des traceurs Google Analytics, qui étaient ensuite enregistrés et utilisés pour vendre les visites et les requêtes de recherche des utilisateurs.

Une deuxième campagne inactive datant du début de l'année 2023 était également déguisée en un nouvel outil de productivité appelé Infinity V+. Elle redirigeait toutes les recherches des utilisateurs vers le site web trovi.com, qui détournait le navigateur, exfiltrait les cookies et enregistrait les frappes des utilisateurs dans le champ de recherche, avant d'envoyer toutes ces informations à des serveurs externes.

Selon les chercheurs, toutes ces campagnes ShadyPanda illustrent un problème dans la manière dont les places de marché gèrent les extensions. « Elles ne surveillent pas ce qui se passe après l'approbation », ont-ils écrit.

Google et Microsoft face au casse-tête des stores d’extensions

Cette affaire relance un débat que les deux entreprises auraient préféré éviter : l’extrême difficulté à sécuriser un écosystème reposant sur des extensions publiées par des milliers de développeurs.

Un porte-parole de Google a confirmé qu'aucune de ces extensions n'était disponible sur le Chrome Web Store, et assure que Google examine chaque mise à jour des extensions du Chrome Store, même les plus mineures.

Un porte-parole de Microsoft a déclaré : « Nous avons supprimé toutes les extensions identifiées comme malveillantes sur le Edge Add-on Store. Lorsque nous constatons des violations de nos politiques, nous prenons les mesures appropriées, qui comprennent, sans s'y limiter, la suppression du contenu interdit ou la résiliation de notre contrat de publication. »

Pourtant, la question reste entière : comment empêcher qu’un développeur parfaitement légitime ne « bascule » son extension vers un comportement malveillant deux ans après sa publication ?

La réalité est que ni Google ni Microsoft ne disposent d’un mécanisme fiable permettant d’auditer en continu les mises à jour publiées par les éditeurs. Tant que l’extension respecte l’API, signe son code et déclare des permissions compatibles avec sa fonction apparente, elle passera les contrôles.

Une attaque qui marque une montée en complexité dans le malware moderne

Ce cas illustre une transformation profonde du paradigme malware. Là où les attaquants utilisaient autrefois des campagnes bruyantes, courtes et massives, ils privilégient désormais la durée, l’intégration à l’écosystème, la dissimulation et la patience.

Les extensions malveillantes ne cherchent plus seulement à infecter un utilisateur : elles veulent s’implanter comme une présence familière. Le fait qu’elles aient attendu des années avant d’activer leur charge utile montre une maturité opérationnelle proche des campagnes APT.

Pour les entreprises, cette sophistication est un signal d’alarme. Une politique de sécurité ne peut plus se limiter à des antivirus et à des filtres web. Elle doit inclure un contrôle strict des extensions navigateur, une revue régulière des permissions et, lorsqu’il s’agit d’environnements sensibles, une politique de whitelisting drastique.

Source : Koi

Voir aussi :

Comment une extension peut-elle rester dormante plusieurs années sans déclencher la moindre alerte ?

Dans quelle mesure les entreprises sont-elles aujourd’hui capables de contrôler l’usage des extensions navigateur par leurs employés ?

Vient ensuite le sujet sensible du Zero Trust. Le modèle s’applique-t-il encore lorsque le navigateur concentre la majorité des accès SaaS, mais que son écosystème d’extensions reste totalement poreux ?

Pourquoi les entreprises continuent-elles à considérer les extensions comme de simples outils front-end, alors que certaines ont désormais plus de permissions et plus de visibilité qu’un agent EDR classique ?

Jusqu’où Google et Microsoft doivent-ils aller pour empêcher un éditeur légitime de basculer son extension vers un comportement malveillant des années après sa publication ?

[Fagus]

Il vaut mieux avoir le minimum d'extension activées, et dès qu'on saisit un mot de passe sérieux, passer en navigation privée pour toutes les désactiver.

[OrthodoxWindows]

Il vaut mieux avoir le minimum d'extension activées, et dès qu'on saisit un mot de passe sérieux, passer en navigation privée pour toutes les désactiver.

Sauf que certaines extensions jouent au contraire un rôle de protection pour l'utilisateur (NoScript, UBlock, DecentralEye...)
Je pense que le mieux, et d'utiliser des extensions open-source, et un gestionnaire de scripts (type Greasemonky), pour les petites modifications

[phil995511]

Google ne fait vraisemblablement pas correctement son travail de prévention au niveau des extensions Chrome qu'ils mettent à disposition sur leur store... ;-(

[kain_tn]

Google ne fait vraisemblablement pas correctement son travail de prévention au niveau des extensions Chrome qu'ils mettent à disposition sur leur store... ;-(

Aucune des GAFAM ne fait de travail de prévention. Ils ne font que de la communication.

Il n'y a qu'à voir le Google Play, ou bien encore le marketplace Microsoft pour VisualStudio. C'est truffé d'applications / plugins malveillants, et ils ne font rien à part dire qu'ils scannent et prennent des mesures contre ça...

[-Lex-]

Aucune des GAFAM ne fait de travail de prévention. Ils ne font que de la communication.

Il n'y a qu'à voir le Google Play, ou bien encore le marketplace Microsoft pour VisualStudio. C'est truffé d'applications / plugins malveillants, et ils ne font rien à part dire qu'ils scannent et prennent des mesures contre ça...

Pour être honnête, je ne pense pas que Mozilla AMO soit beaucoup plus sécurisé à ce sujet. Il y a quelques années en tout cas il n'y avait pas de détection proactive du code malveillant. Tout est basé sur le bon vouloir des utilisateurs et de quelques modérateurs qui font le travail de relecture. Les extensions recommandées étaient évaluées de temps en temps mais toujours a posteriori, après la mise en public.

D'une manière générale les applications open-source sont à privilégier mais, même si le dépôt de code a été audité il n'y a pas de garantie que le code qui tourne actuellement dans votre navigateur est bien celui du dépôt...

Pendant des années on disait que l'hétérogénéité des navigateurs constituait une protection en plus d'une stratégie de lutte contre une situation de monopole des GAFAM vis à vis des standards du web. Aujourd'hui Microsoft a basculé vers une base Chromium, tout comme Opera. Cela simplifie la vie des acteurs malveillants qui n'ont qu'à développer pour une plateforme pour toucher plus de 75% des utilisateurs. Quand la fondation Mozilla aura coulé, emportant Firefox avec elle, la situation sera encore pire (de 2%...).

[_toma_]

Moi ce qui m'interpelle surtout dans cette actualité c'est le commanditaire de l'attaque.
De ce que je comprends il ne s'agit pas d'une campagne ciblée visant à récupérer certaines données/saboter telle ou telle installation. Il s'agit d'une campagne visant à collecter des données personnelles de navigation.
Les destinataires de ces données volées sont donc des data brokers ?

[schlebe]

Je me rappelle avoir développé une partie d'application J2EE que le client avait mis en place et qui contenait plus de 100 modules différents provenant du libre.

Le client les utilisait et les téléchargeait sans y faire plus attention.
Le développeur pouvait télécharger ce qu'il voulait du .Net et l'utiliser dans son développement.
Lorsque le développement était fini, le nouveau module était intégré dans les répertoires centraux de l'entreprise pour d'autres développements.

Cela a permis au développement Java de s'étendre rapidement et de dépasser rapidement Microsoft (.Net).

Maintenant Microsoft fait la même chose avec les paquets Nuget et je ne serai pas surpris si dans 5 ans Développez.com publie un article sur le piratage de grosses sociétés pour avoir utiliser aveuglément des logiciels libres !

Qui vivra ... verra.

[Jade Emy]

Le groupe de pirates informatiques chinois DarkSpectre a mené une campagne de malwares pendant 7 ans, infectant 8,8 millions de navigateurs tels que Chrome, Edge, Firefox et Opera via des extensions trompeuses

Un groupe de pirates informatiques lié à la Chine, DarkSpectre, a mené pendant sept ans une campagne de logiciels malveillants qui a infecté 8,8 millions de navigateurs tels que Chrome, Edge, Firefox et Opera via des extensions trompeuses. Ces dernières ont volé des données sensibles, notamment des frappes clavier et des détails de réunions Zoom, à des fins d'espionnage potentiel. Cette violation met en évidence les vulnérabilités des navigateurs, ce qui incite à renforcer les mesures de sécurité et la vigilance des utilisateurs.

Dans les recoins obscurs du monde numérique, une cybermenace sophistiquée a fait son apparition, jetant une ombre sur des millions d'internautes. L’affaire aurait pu rester invisible encore longtemps si plusieurs équipes de chercheurs n’avaient pas fini par comprendre qu’un réseau d’extensions « tout à fait banales » pour Chrome et Microsoft Edge, actives depuis parfois plus de trois ans, dissimulait en réalité un mécanisme de compromission à retardement. Avec 4,3 millions d’utilisateurs touchés, cette opération démontre à quel point l’écosystème des extensions navigateurs est devenu un terrain d’attaque sophistiqué, patient et diablement efficace. Les professionnels de la cybersécurité y voient désormais l’un des vecteurs les plus sous-estimés de la menace moderne.

Récemment, un rapport a révélé qu'un groupe de pirates informatiques lié à la Chine, connu sous le nom de DarkSpectre, a orchestré l'une des campagnes de logiciels malveillants les plus importantes de l'histoire récente, infectant plus de 8,8 millions d'utilisateurs de navigateurs web populaires, notamment Google Chrome, Microsoft Edge, Mozilla Firefox et même Opera. Cette opération, qui s'est étendue sur sept ans, impliquait des extensions de navigateur malveillantes qui collectaient discrètement des données sensibles, allant de l'historique de navigation aux informations commerciales.

L'ampleur de la campagne est stupéfiante, DarkSpectre employant des tactiques coordonnées pour distribuer des logiciels malveillants via des extensions apparemment légitimes. Les chercheurs en sécurité ont découvert les activités du groupe pour la première fois fin 2025, les reliant à une série d'infections qui ont commencé dès 2018. En se faisant passer pour des outils utiles tels que des bloqueurs de publicités ou des outils d'amélioration de la productivité, ces extensions ont gagné la confiance des utilisateurs avant de se retourner contre eux. Une fois installées, elles exfiltraient des données vers des serveurs distants contrôlés par les pirates, souvent sans que les utilisateurs ne remarquent immédiatement quoi que ce soit d'anormal. Cette méthode a permis à DarkSpectre d'amasser une vaste quantité d'informations, potentiellement à des fins d'espionnage ou de gain financier.

Un rapport a décrit comment le groupe ciblait les utilisateurs sur plusieurs plateformes. Le logiciel malveillant ne se contentait pas de voler des mots de passe ou des cookies ; il allait plus loin, capturant des captures d'écran, des frappes au clavier et même des détails provenant de réunions en ligne. Dans une variante, baptisée « Zoom Stealer », les extensions récoltaient des données provenant de sessions de vidéoconférence, notamment des URL, des identifiants de réunion et des mots de passe intégrés.

Ce niveau d'intrusion soulève des inquiétudes quant à la sécurité des entreprises, celles-ci s'appuyant de plus en plus sur des outils basés sur des navigateurs pour le travail à distance. Ces révélations interviennent à un moment où la sécurité des navigateurs fait l'objet d'une attention particulière, mettant en évidence des vulnérabilités que même les géants de la technologie ont du mal à contenir.

Dévoilement des opérateurs fantômes

Selon les experts en cybersécurité qui ont analysé l'infrastructure de commande et de contrôle, les origines de DarkSpectre remontent à la Chine. Les techniques du groupe portent la marque d'opérations parrainées par l'État, bien que l'attribution définitive reste difficile à établir. Au fil des ans, ils ont mené trois campagnes distinctes, chacune affinant leur approche pour échapper à la détection. La première vague consistait à publier des extensions inoffensives sur des boutiques officielles telles que le Chrome Web Store, afin de constituer une base d'utilisateurs avant de diffuser des mises à jour malveillantes. Cette tactique d'appât et de substitution exploitait la confiance des utilisateurs dans les marchés vérifiés.

Les campagnes suivantes sont devenues plus audacieuses, intégrant des mécanismes de persistance avancés. Les logiciels malveillants détournaient les sessions de navigation, injectant du code qui survivait aux redémarrages et aux mises à jour. Les utilisateurs de Firefox, souvent considérés comme plus soucieux de leur vie privée, n'ont pas été épargnés ; des extensions adaptées au navigateur ont siphonné les données avec la même efficacité. ces infections se sont propagées grâce à l'ingénierie sociale, attirant les utilisateurs avec la promesse d'une expérience de navigation améliorée. Il en a résulté un réseau d'appareils compromis, qui fournissait des informations aux responsables de DarkSpectre.

L'élément humain dans cette saga ne peut être négligé. De nombreuses victimes étaient des utilisateurs lambda, mais l'accent mis par la campagne sur les données d'entreprise suggère une approche d'espionnage ciblée. Des extensions telles que celles imitant les VPN ou les gestionnaires de mots de passe populaires ont collecté des identifiants dans des environnements d'entreprise. Dans des publications sur les réseaux sociaux, des passionnés de cybersécurité ont exprimé leur choc face à la durée de la violation, l'un d'entre eux soulignant que ShadyPanda, un acteur potentiellement lié, avait également utilisé des extensions à des fins malveillantes après avoir gagné en popularité. Ce schéma souligne une tendance plus large selon laquelle les pirates exploitent les faiblesses de l'écosystème des extensions.

Les mécanismes de la tromperie numérique

En se plongeant dans les fondements techniques, le logiciel malveillant DarkSpectre a exploité les API des navigateurs pour accéder à des informations sensibles sans déclencher d'alerte. Pour Chrome et Edge, qui partagent le moteur Chromium, le groupe a utilisé des exploits de version manifeste pour contourner les contrôles d'autorisation. Les extensions Firefox, construites sur une architecture différente, nécessitaient des charges utiles personnalisées, impliquant souvent des API WebExtensions pour l'exfiltration de données. Opera, bien que moins souvent ciblé, a été victime d'extensions compatibles qui reflétaient celles d'autres plateformes.

Le processus d'infection commençait généralement par le téléchargement d'une extension depuis une boutique officielle ou une publicité trompeuse par l'utilisateur. Une fois active, elle communiquait avec des serveurs de commande, recevant des instructions pour collecter des types de données spécifiques. Dans certains cas, le logiciel malveillant utilisait le chiffrement pour masquer le trafic sortant, ce qui rendait sa détection plus difficile pour les moniteurs réseau. Au cours des sept dernières années, ces campagnes ont évolué, intégrant des vulnérabilités zero-day pour maintenir leur persistance même après les mises à jour des navigateurs.

La comparaison avec les menaces passées met en lumière la sophistication de DarkSpectre. Contrairement aux attaques brutales comme les ransomwares, il s'agissait d'une opération subtile et de longue haleine qui rappelait la violation de SolarWinds. Des rapports ont souligné les similitudes avec des logiciels malveillants antérieurs qui avaient exfiltré des données de plusieurs navigateurs, qualifiant l'un de ces incidents de « plus grand vol de données de l'histoire ». Avec 8,8 millions d'utilisateurs touchés, DarkSpectre est en passe de remporter ce titre douteux, avec des implications pour la confidentialité à l'échelle mondiale.

Des répercussions dans les couloirs des entreprises

Les répercussions des activités de DarkSpectre se sont fait sentir dans les salles de réunion et les services informatiques du monde entier. Les entreprises ont découvert que des données sensibles relatives à des réunions, notamment des sessions Zoom, avaient été compromises, exposant potentiellement des secrets commerciaux ou des plans stratégiques. Selon un rapport, 2,2 millions d'utilisateurs auraient été touchés par la seule variante Zoom Stealer, qui a récolté des informations telles que les sujets des réunions et les listes de participants. Cela a conduit à une révision urgente des politiques d'utilisation des navigateurs dans les entreprises, certaines d'entre elles interdisant purement et simplement les extensions.

Les réponses réglementaires commencent à prendre forme. Aux États-Unis, des agences telles que la Cybersecurity and Infrastructure Security Agency (CISA) exhortent les fournisseurs de navigateurs à renforcer les processus d'examen des extensions. Google, Microsoft et Mozilla ont supprimé les extensions impliquées, mais le mal est déjà fait pour beaucoup. Si les extensions liées au cannabis et à la psilocybine n'étaient pas directement impliquées, les vulnérabilités de l'écosystème au sens large ont permis un abus aussi généralisé.

Les discussions entre professionnels de la technologie révèlent une frustration croissante à l'égard des modèles de sécurité des navigateurs. Un article a averti que 80 % des cyberincidents commencent dans le navigateur, citant des groupes tels que Scattered Spider qui détournent des sessions. La campagne de DarkSpectre amplifie cette préoccupation, en montrant comment les extensions peuvent servir de chevaux de Troie pour l'espionnage. Il est conseillé aux utilisateurs de vérifier régulièrement les extensions qu'ils ont installées et d'activer des fonctionnalités telles que la navigation sécurisée améliorée.

Source : Rapport sur DarkSpectre

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Google Chrome, Microsoft Edge et Brave contiennent une extension cachée par défaut qui permet au code sur *.google.com d'accéder à des API privées, y compris des informations sur l'utilisation du processeur

Les extensions de navigateur vous espionnent, même si leurs développeurs ne le font pas, par Robert Vitonsky

Le «pire piratage des USA» : Salt Typhoon a infiltré les principaux réseaux de télécoms, démontrant pourquoi les portes dérobées intégrées volontairement aux systèmes chiffrés ne doivent jamais être autorisées

[Stéphane le calme]

Chrome Web Store infiltré : 287 extensions espionnent 37 millions d'utilisateurs
30 entreprises épinglées dans un système massif de collecte de données parmi lesquelles Similarweb, Semrush et ByteDance

Un chercheur en sécurité vient de lever le voile sur un écosystème parallèle inquiétant au cœur du Chrome Web Store. 287 extensions, totalisant 37,4 millions d'installations, exfiltrent massivement l'historique de navigation de leurs utilisateurs vers plus de 30 destinataires, dont des courtiers en données comme Similarweb, Semrush et Big Star Labs. Cette découverte ravive le débat sur la monétisation opaque des extensions de navigateur et les limites du contrôle exercé par Google sur son écosystème et intervient seulement deux mois après que des chercheurs ont découvert que 4,3 millions d'utilisateurs se sont fait piéger par des extensions « légitimes ».

Le chercheur anonyme "Q Continuum", en référence à Star Trek, a publié un rapport détaillé dévoilant une réalité préoccupante : des centaines d'extensions Chrome apparemment inoffensives — gestionnaires de mots de passe, bloqueurs de publicités, outils de productivité — opèrent en réalité comme des mouchards numériques sophistiqués. Ces extensions collectent l'intégralité de l'historique de navigation de leurs utilisateurs et le transmettent à des tiers, souvent à l'insu des personnes concernées.

L'ampleur du phénomène est vertigineuse. Avec 37,4 millions d'installations cumulées, ces extensions touchent potentiellement une population équivalente à celle de la Pologne. Pour environ 20 millions de ces installations, l'entité collectrice demeure inconnue, ce qui laisse présager une face immergée bien plus importante de cet iceberg numérique.

Le modus operandi de ces extensions suit un schéma désormais classique dans l'économie de la surveillance : elles se présentent comme des utilitaires pratiques répondant à des besoins légitimes, demandent des permissions apparemment justifiées, puis exploitent ces accès pour collecter bien plus que nécessaire. L'historique de navigation constitue une mine d'or informationnelle révélant les centres d'intérêt, les habitudes, la santé, les opinions politiques et même l'identité des utilisateurs.

Une méthodologie de détection innovante

Pour identifier ces extensions malveillantes, Q Continuum a développé un système de test automatisé particulièrement ingénieux. Basé sur Docker et Chromium, ce système utilise un proxy man-in-the-middle (MITM) qui exécute des scénarios de navigation synthétiques tout en surveillant le trafic réseau sortant. En corrélant les requêtes HTTP avec les URLs visitées, le chercheur peut détecter avec précision quelles extensions fuient l'historique de navigation.

Cette approche s'inspire des travaux académiques publiés en 2017 par Michael Weissbacher et ses collègues dans leur étude Ex-Ray: Detection of History-Leaking Browser Extensions. La différence majeure réside dans l'échelle et l'automatisation : le pipeline de test de Q Continuum peut analyser des centaines d'extensions de manière systématique, révélant ainsi des patterns à grande échelle invisibles lors d'analyses manuelles.

Les résultats sont sans appel : plus de 30 entreprises ont été identifiées comme destinataires de ces données. Parmi elles figurent des acteurs majeurs de l'analyse web comme Similarweb, des géants technologiques asiatiques tels qu'Alibaba Group et ByteDance, ainsi que des sociétés d'analyse de trafic comme Semrush. Pour environ la moitié des installations concernées, l'identité du collecteur reste mystérieuse, suggérant des réseaux de collecte de données encore plus opaques.

Similarweb : entre légalité et éthique douteuse

Le rapport de Q Continuum place Similarweb au centre de cette problématique. Cette entreprise israélienne spécialisée dans l'analyse de trafic web construit une partie de son modèle économique sur la collecte de données via des extensions de navigateur. Sa politique de confidentialité mentionne explicitement cette pratique, mais dans des termes suffisamment obscurs pour que la plupart des utilisateurs n'en saisissent pas les implications réelles.

Similarweb affirme anonymiser les données collectées côté client et exclure les informations personnellement identifiables. Pourtant, la même politique reconnaît paradoxalement que « certaines de ces données peuvent inclure des données personnelles et sensibles selon les recherches effectuées et le contenu consulté ». Cette contradiction apparente illustre la zone grise juridique dans laquelle évoluent ces pratiques.

Les données d'historique de navigation, même prétendument anonymisées, peuvent souvent être réattribuées à des individus spécifiques. Des recherches académiques ont démontré qu'en croisant l'historique de navigation avec des profils publics sur les réseaux sociaux, il devient possible d'identifier les personnes derrière les données. L'anonymisation promise par ces entreprises s'avère donc souvent illusoire face aux techniques modernes de ré-identification.

La dépendance de Similarweb à ces sources de données apparaît clairement dans ses documents financiers. Un dépôt auprès de la SEC datant de février 2025 stipule : « Notre plateforme et nos solutions dépendent en partie de la capacité à obtenir des données depuis notre réseau contributif via des extensions de navigateur, des applications mobiles et d'autres produits distribués par des plateformes tierces comme le Chrome Web Store, Google Play et l'App Store d'Apple ». Cette phrase révèle à quel point le modèle économique de l'entreprise repose sur cette surveillance diffuse.

Le dilemme de Google face aux extensions malveillantes

Le Chrome Web Store dispose théoriquement d'une politique d'utilisation limitée (Limited Use policy) censée empêcher le partage de données avec des courtiers en données. Mais cette politique comporte une exception exploitable par des entreprises peu scrupuleuses. Le résultat : des extensions violent l'esprit de cette règle tout en respectant formellement sa lettre.

Cette situation n'est pas nouvelle. En décembre 2025, plusieurs extensions de blocage de publicités et de VPN avaient été surprises en train de capturer des conversations avec des chatbots IA. En mars 2025, une étude révélait que des extensions d'intelligence artificielle générative collectaient et partageaient massivement des données sensibles des utilisateurs. Le problème est systémique et récurrent.

Les développeurs d'extensions populaires font par ailleurs face à des sollicitations constantes de la part d'acheteurs intéressés par l'insertion de scripts de collecte de données. Ce marché gris des rachats d'extensions crée une incitation perverse : les créateurs de logiciels utiles sont tentés de monétiser leur base d'utilisateurs en vendant leurs extensions à des entités dont les intentions sont moins honorables.

La modération humaine et algorithmique de Google semble impuissante face à l'ampleur du problème. Le Chrome Web Store héberge des dizaines de milliers d'extensions, rendant pratiquement impossible un contrôle exhaustif et continu. Les extensions malveillantes peuvent fonctionner pendant des mois, voire des années, avant d'être détectées et retirées. Entre-temps, des millions de profils utilisateurs auront été aspirés et monétisés.

L'économie de surveillance généralisée

Le rapport de Q Continuum pose une question philosophique fondamentale : « Pourquoi cela importe-t-il ? » La réponse touche à la moralité même du modèle économique numérique contemporain. Imaginer construire une entreprise dont le fonctionnement repose sur l'exfiltration de données via des extensions d'apparence innocente, puis vendre ces données à de grandes entreprises, révèle un système où l'utilisateur n'est pas le client mais le produit.

Cette réalité s'inscrit dans un contexte plus large où les données personnelles sont devenues « le nouveau pétrole » de l'économie numérique. Chaque site web visité, chaque recherche effectuée, chaque clic enregistré alimente des profils comportementaux d'une précision inquiétante. Ces profils permettent non seulement un ciblage publicitaire ultra-personnalisé, mais aussi des manipulations potentielles dans les domaines politique, commercial et social.

Les victimes de cette surveillance ne sont pas uniquement des particuliers naïfs. Des professionnels, des chercheurs, des journalistes et des employés d'entreprises technologiques installent ces extensions, exposant potentiellement des informations confidentielles et propriétaires. L'historique de navigation peut révéler les stratégies commerciales d'une entreprise, les sources d'un journaliste d'investigation, ou les pistes de recherche d'un scientifique.

L'ironie ultime réside dans le fait que de nombreuses extensions prétendant protéger la vie privée — bloqueurs de publicités, VPN, gestionnaires de cookies — figurent parmi les pires contrevenants. Les utilisateurs soucieux de leur confidentialité qui installent ces outils dans l'espoir de se protéger deviennent en réalité des cibles privilégiées, leurs profils enrichis d'une dimension métacognitive : ils sont conscients des enjeux de vie privée, ce qui en fait des consommateurs particulièrement intéressants pour certains annonceurs.

Que faire face à cette menace ?

Le rapport souligne « le besoin urgent d'une plus grande sensibilisation et de protections plus robustes pour protéger les utilisateurs contre les risques croissants posés par les extensions malveillantes ». Plusieurs axes d'action se dessinent pour les professionnels de l'informatique et les utilisateurs avertis.

Premièrement, adopter une hygiène numérique stricte : n'installer que des extensions strictement nécessaires, provenant de développeurs réputés, avec des politiques de confidentialité transparentes. Chaque extension représente un point d'entrée potentiel dans votre vie numérique. La règle devrait être : moins, c'est mieux.

Deuxièmement, auditer régulièrement les permissions accordées aux extensions installées. Chrome permet de visualiser et de modifier ces permissions dans chrome://extensions. Une extension de prise de notes n'a aucune raison légitime d'accéder à votre historique de navigation ou de lire et modifier les données de tous les sites web. Les permissions excessives constituent un signal d'alarme.

Troisièmement, privilégier les extensions open source dont le code peut être audité par la communauté. Certes, cela ne garantit pas une sécurité absolue, mais cela offre au moins une transparence que les solutions propriétaires ne fournissent jamais. Des projets comme uBlock Origin démontrent qu'efficacité et respect de la vie privée peuvent coexister.

Quatrièmement, utiliser des outils de surveillance du trafic réseau pour détecter les comportements suspects. Les professionnels de l'informatique peuvent déployer des proxies MITM en environnement de test pour analyser le comportement des extensions avant de les autoriser dans leur organisation. Cette approche proactive, inspirée de celle de Q Continuum, peut prévenir des fuites de données à grande échelle.

Cinquièmement, envisager des alternatives aux extensions Chrome traditionnelles. Des navigateurs axés sur la confidentialité comme Brave intègrent nativement de nombreuses fonctionnalités (blocage de publicités, protection anti-pistage) sans nécessiter d'extensions tierces potentiellement malveillantes. Cette approche élimine le risque à la source.

Conclusion : reprendre le contrôle de nos données

L'affaire des 287 extensions révélée par Q Continuum n'est qu'un symptôme d'un problème plus profond : l'asymétrie informationnelle radicale entre les utilisateurs et les plateformes. Nous acceptons des conditions générales que nous ne lisons pas, installons des logiciels dont nous ne comprenons pas le fonctionnement, et faisons confiance à des entreprises dont le modèle économique repose précisément sur la violation de cette confiance.

Pour les professionnels de l'informatique, cette révélation devrait servir de rappel : la sécurité et la confidentialité ne sont pas des états binaires mais des processus continus nécessitant vigilance et remise en question. Les outils que nous déployons, les extensions que nous recommandons, les écosystèmes dans lesquels nous évoluons méritent un examen critique constant.

La question n'est plus de savoir si nos données sont collectées — elles le sont, massivement, en permanence — mais par qui, à quelles fins, et avec quelles conséquences. Dans un monde où la donnée est devenue la ressource stratégique par excellence, reprendre le contrôle de nos informations personnelles n'est pas un luxe technophile mais une nécessité démocratique.

Le combat pour la vie privée numérique ne sera pas gagné par une révélation isolée, aussi retentissante soit-elle, mais par une prise de conscience collective et une volonté politique de réguler les excès d'une industrie qui a trop longtemps opéré dans l'ombre. Les 37 millions d'utilisateurs dont les données ont été exfiltrées méritent mieux que des excuses et des promesses. Ils méritent un écosystème numérique qui respecte fondamentalement leur vie privée plutôt que de l'exploiter systématiquement.

Sources : Q Continuum (1, 2) Ex-Ray: Detection of History-Leaking Browser Extension, De-anonymizing Web Browsing Data with Social Network

Et vous ?

Êtes-vous prêt à sacrifier certaines fonctionnalités pratiques pour protéger vos données personnelles, ou considérez-vous ce type de collecte comme un « mal nécessaire » de l'écosystème gratuit ?

Google devrait-il être tenu légalement responsable des extensions malveillantes hébergées sur son Chrome Web Store, au même titre qu'Apple pour l'App Store ?

Face à ce scandale, envisagez-vous de migrer vers des navigateurs alternatifs axés sur la confidentialité (Brave, Firefox) ou estimez-vous que le problème est systémique à tous les écosystèmes d'extensions ?

Les entreprises comme Similarweb qui collectent ces données devraient-elles être classées comme « courtiers en données » et soumises à des régulations plus strictes, notamment sous le RGPD ?

Faut-il imposer un « label de confiance » obligatoire pour les extensions, avec audit de code indépendant financé par les développeurs, comme cela existe dans d'autres secteurs ?

Pensez-vous qu'une solution technique (sandboxing renforcé, permissions granulaires) puisse résoudre le problème, ou s'agit-il avant tout d'un enjeu de gouvernance et de régulation ?

Les administrateurs système devraient-ils bloquer par défaut toutes les extensions dans les environnements professionnels et n'autoriser qu'une liste blanche restreinte après audit ?

Voir aussi :

51 % des extensions de navigateur présentent un risque élevé pour les entreprises et les données stockées dans Google Workspace et Microsoft 365

Les extensions de navigateur vous espionnent, même si leurs développeurs ne le font pas, par Robert Vitonsky

[Fagus]

sous firefox, on peut se créer des profils. Ainsi, on peut créer un profil noaddon (sans addon) avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

firefox -P

Ensuite, on peut lancer ce profil avec une icône bureau par

firefox -P noaddon

.
Comme ça on a une session de navigation générale avec les addons (que l'on peut configurer avec effacement du cache + cookies à la fermeture) et une session propre.