Les chercheurs de Koi Security ont découvert la présence de onze extensions Chrome malveillantes sur le Chrome Web Store, la boutique officielle de Google. En dépit de leurs pratiques, les extensions cumulent parfois de nombreux avis positifs. Dans certains cas, elles sont même vérifiées par Google et mises en avant sur la plateforme. Les extensions sont ainsi parvenues à cumuler 1,7 million de téléchargements sur le Chrome Web Store. Les attaquants ont « exploité avec succès tous les signaux de confiance sur lesquels les utilisateurs s’appuient », note Koi Security.
Selon les recherches menées par Koi Security, les extensions embarquent des fonctionnalités malveillantes destinées à pister les internautes. Les développeurs ont en effet placé un code espion dans un composant appelé service worker, ou travailleur de service en arrière-plan, qui se déclenche automatiquement chaque fois qu’un utilisateur ouvre une nouvelle page web. Avec ce code espion, les extensions peuvent par exemple enregistrer l’URL de toutes les pages visitées, et rediriger l’utilisateur sur d’autres pages web. De nombreuses extensions glissent même une porte dérobée au sein du navigateur web.
À lire aussi : Mettez Chrome à jour de toute urgence, Google a corrigé la 4e faille zero day de l’année
Comment les extensions Chrome ont berné Google ?
Pour échapper aux mécanismes de sécurité de Google, les extensions arrivent sur le Web Store dépouillées de leurs fonctions malveillantes. Celles-ci sont ajoutées ultérieurement par le biais d’une mise à jour. Au moment de leur validation, les extensions sont donc inoffensives. Pour endormir la méfiance de leurs victimes, les extensions vont aussi fonctionner normalement une fois installées, en offrant toutes les fonctions promises. Surtout, elles ont fonctionné sans la moindre anomalie, ni comportement malveillant, pendant des années. C’est pourquoi elles ont obtenu le badge vérifié de Google. Il est possible que les extensions aient récemment été compromises par des cybercriminels.
Parmi les extensions débusquées, on trouve surtout « des outils populaires de productivité ou de divertissement », avec des extensions claviers, des outils de prévision météo, des VPN, des bloqueurs de pubs ou encore des amplificateurs de volume. Sans plus attendre, voici la liste des extensions épinglées par les experts. Si vous avez installé l’une de ces extensions sur votre navigateur, on vous invite à la désinstaller de toute urgence.
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Unlock TikTok
- Weather
Une opération malveillante sur Chrome et sur Edge
Alerté par les chercheurs, Google a supprimé toutes les extensions de sa plateforme. Les chercheurs ont également découvert sept extensions Microsoft Edge malveillantes sur boutique de Microsoft. Selon eux, les extensions font partie de « RedDirection, un réseau sophistiqué, multiplateforme, composé de 18 extensions malveillantes », qui partagent « la même fonctionnalité de détournement de navigation ». L’opération a déjà cumulé plus de deux millions de téléchargements. Pour Koi Security, c’est « la preuve que le modèle de sécurité actuel du marché des extensions est fondamentalement brisé ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Koi Security
