Elles n’apparaissent dans aucun résultat de recherche, ne sont pas listées sur le Chrome Web Store, et pourtant, elles siphonnent les données de millions d’internautes depuis des années.
Comme souvent en cybersécurité, tout est parti d’un détail qui ne collait pas. En analysant les extensions web installées sur les postes d’une entreprise, John Tuckner, chercheur chez Secure Annex, remarque que certains plugins ne sont référencés ni par les moteurs de recherche, ni sur le Chrome Web Store. Pourtant, ils sont bel et bien installés – et activement utilisés – par des millions de personnes. Intrigué, il gratte un peu… et tombe sur un réseau de 35 extensions malveillantes, accessibles uniquement par lien direct, toutes partageant le même comportement suspect : collecte de cookies, injection de scripts, modification des résultats de recherche.
Des extensions invisibles utilisées par 4 millions d'internautes
L’une des premières extensions à sortir du lot s’appelle Fire Shield Extension Protection. Officiellement, elle analyse les autres modules web installés sur les navigateurs Chromium pour détecter ceux qui pourraient poser problème. En pratique, elle réclame des permissions disproportionnées : lecture des cookies, gestion des onglets, exécution de scripts, interception des requêtes réseau. Des accès très larges et suspects pour un outil censé se contenter d’un diagnostic.
Et pourtant, malgré son invisibilité apparente, elle totalise plus de 300 000 installations. C’est là tout le paradoxe. Ces extensions sont bel et bien hébergées sur le Chrome Web Store, mais elles ne sont pas listées. De fait, vous n’obtiendriez aucun résultat en les cherchant par nom, aussi bien sur la plateforme de Google que dans les moteurs de recherche. Pour y accéder, il faut passer par leur lien direct.
En examinant les permissions, les structures de code et les domaines contactés, John Tuckner met rapidement en évidence un schéma récurrent. 35 extensions au total sont reliées entre elles par un domaine signature (unknow.com) et des éléments techniques communs, cumulant plus de 4 millions d’installations. Certaines sont publiées sous des noms génériques, d’autres n’ont même pas d’interface visible. Les plus discrètes se contentent de pinguer un serveur de temps en temps. Les plus actives injectent des scripts, modifient les résultats de recherche, exfiltrent les cookies de sessions, ou redirigent les requêtes vers Bing via un système d’affiliation pour générer des revenus publicitaires.
Rien ne prouve encore que ces extensions aient permis de voler massivement des identifiants ou des données bancaires. Toutefois, leur fonctionnement laisse peu de doute : John Tuckner évoque clairement la possibilité d’un infostealer en sommeil, dont le comportement peut évoluer à distance grâce à des commandes envoyées par un serveur externe. Plus troublant encore, plusieurs de ces extensions pointent vers des domaines historiquement associés à d’anciens malwares ou à des entités à la réputation floue. Certaines politiques de confidentialité retrouvées témoignent même de conditions d’utilisation en ligne depuis 2019, suggérant une opération active depuis plusieurs années.
Ce qu’on ne sait pas (encore), et ce qu’on peut faire
Comment ces extensions ont-elles pu passer entre les mailles du filet aussi longtemps ? À la date de l’enquête, deux d’entre elles avaient déjà été supprimées du Chrome Web Store, probablement après signalement. Mais la majorité restait en ligne, accessible à qui connaît le lien direct. Certaines n’avaient pas été mises à jour depuis plus d’un an. Leur comportement discret, activé à distance, rend leur détection d’autant plus compliquée. Résultat : elles continuent de circuler, alors même que leur code laisse peu de doute sur leur véritable fonction.
Difficile aussi de savoir comment ces extensions ont atteint un tel volume d’installations. L’auteur de l’enquête évoque plusieurs pistes : diffusion via des publicités malveillantes, installation en bundle avec d’autres logiciels ou propagation automatisée. Le fait qu’elles soient techniquement disponibles sur le Web Store, bien que non listées, permet aussi de les installer en un clic, sans forcément éveiller les soupçons.
Certaines de ces extensions (dont les ID sont listés ici) portent même le label « Featured » décerné par Google, censé attester de leur fiabilité. Un badge officiel qui inspire confiance, mais dont la présence ici interroge. Car comment une extension inaccessible par la recherche, au comportement opaque et à l’éditeur quasi invisible, peut-elle être recommandée par Google ? Un point d’interrogation qui soulève de sérieuses questions concernant les critères de validation du Chrome Web Store, et, par conséquent, sur la protection réelle offerte aux internautes.
Alors que faire, en attendant mieux ? La première chose, c’est de vérifier ce qui est installé dans votre navigateur. Si une extension ne vous dit rien, qu’elle ne vient pas du Chrome Web Store ou qu’elle n’a pas d’icône visible, mieux vaut la désactiver ou la supprimer. En prévention, et de manière générale, évitez les liens de téléchargement direct et astreignez-vous à n'installer que des extensions listées sur le store de Google.
Si vous êtes en entreprise, il existe aussi des outils pour surveiller ce genre de comportements à grande échelle. Certains environnements comme Microsoft Defender for Endpoint ou la console d’administration de Google Workspace permettent déjà de restreindre l’installation d’extensions, d’identifier celles qui demandent des accès trop larges ou de repérer des comportements réseau inhabituels. D’autres solutions, plus spécialisées, s’appuient sur des plateformes EDR ou XDR capables d’analyser finement les interactions entre le navigateur, les extensions et les services distants. De quoi garder un œil sur ce qui circule, même quand ça se cache bien.
Source : Secure Annex
