Téléchargées 32 millions de fois, ces 70 extensions Chrome contenaient un malware

Publié le 19 juin 2020 à 16h47

Des chercheurs en sécurité ont découvert des logiciels malveillants qui menaçaient des millions d’utilisateurs Chrome par le biais d'extensions. Google a procédé à la suppression de plusieurs dizaines de références de son navigateur web.

Ironie du sort, certaines d'entre elles vous promettaient de vous renseigner sur la sécurité des sites visités. En réalité, elles se situaient surtout à mi-chemin entre le spyware et le malware.

Les données personnelles en ligne de mire

Selon le rapport publié par Awake Security, des millions d’utilisateurs de Chrome ont été victimes de ces extensions. Les malfaiteurs ont réussi à mettre en ligne plus de 70 plug-ins malveillants sur le catalogue du Google Chrome Store. Au total, elles ont été téléchargées plus de 32 millions de fois.

La plupart d’entre elles disaient offrir une protection contre des sites malintentionnés, ou des services pour convertir facilement des fichiers dans un autre format. Malheureusement, elles drainaient aussi, en réalité, un certain nombre de données personnelles, comme l’historique de recherche ou vos identifiants.

Google a indiqué avoir retiré plus de 70 extensions malveillantes de sa boutique en ligne officielle, au moment où les chercheurs l’ont alertée. Toutefois, certaines étaient proposées depuis plusieurs mois et ont pu extraire de multiples données.

GalComm comme principal suspect

Il y a quatre mois, Google retirait déjà plus de 500 extensions malveillantes de sa boutique. Cette fois, la totalité des domaines repérés (plus de 15 000) a été achetée chez GalComm, un bureau d’enregistrement de nom de domaine, situé en Israël. Moshe Fogel, le propriétaire, a déclaré que « GalComm n’est ni impliqué ni complice de quelconque activité malveillante ».

Plutôt curieux, puisque sur les 26 079 domaines accessibles enregistrés par GalComm, 15 160, soit près de 60 %, sont « malveillants ou suspects », d’après le rapport d’Awake.

Il semble d’ailleurs que les extensions aient passé sans encombre les systèmes d’antivirus de Google. On peut lire en détail les autorisations accordées : « lire le presse-papiers », « saisir les frappes des utilisateurs » ou encore « faire des captures d’écran ». Tant d’informations qui ont été transmises à un serveur, à l’insu de l’utilisateur.

La liste des plug-ins n’a pas été dévoilée en détail. Cependant, Awake Security a publié un inventaire des ID. C’est l’identifiant unique de chacune des références retirées, que l'on trouve, dans cet exemple, en gras : https://chrome.google.com/webstore/detail/xxxxxxxx/ ekbecnhekcpbfgdchfjcfmnocdfpcanj?hl=fr.

Difficile donc de vérifier si l’on possède ou non une extension dangereuse. Dans tous les cas, il est préférable de se tourner seulement vers des développeurs de confiance.

Source : Reuters, AwakeSecurity

Par Benjamin Cabiron

Passionné depuis toujours par les nouvelles technologies. Je suis avec un œil vigilant le développement de la confidentialité sur le net. Également grand amateur de culture japonaise, j'engloutis les romans de Haruki Murakami ou le dernier anime avec un malin plaisir.

Articles de Benjamin Cabiron

Actualités Navigateur web

Piratage

Malware / Ransomware

Google

Internet & communication

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

SPH

C’est dingue et inquiétant !
Y a t’il une solution proposé pour éradiquer ces bestioles ??

Fodger

Pourquoi ne pas divulguer la liste des extensions ? Plutôt étonnant…

bmustang

pas de chrome et d’extensions sur votre pc et vous tenez la solution

loracle

J’ai jamais installé ce malware, le temps m’a donné raison

Proutie66

C’est quoi cet article ?
Au lieu de dire une extension (par exemple adblock), ils te disent « voici l’id, trouvez le nom de l’extension »?

Etes sérieux ?

A minima Clubic aidez à trouver le nom de l’extension… Bref

bmustang

les extensions, plug_in… pullulent trop vite et sont utilisées sans réflexion par les utilisateurs. Alors commençons par éduquer ces derniers, c’est comme les saletés au sol

Krypton_80

Comme il est dit à la fin de l’article, il suffit de sélectionner les développeurs fiables et connus comme par exemple AdGuard AdBlocker, Malwarebytes ou McAfee WebAdvisor.

trollkien

Perso je n’utilise que ublock origin, https everywhere et le plugin de mon vpn… sous Firefox

Benjam007

Ben c’est qu’ils ont pas l’info, c’est malin ça. C’est pas eux qui ont publié la liste d’id, c’est Awake Security. Faut lire hein! Et ils ont juste donné un exemple pour qu’on sache ce qu’est l’id d’une extension et qu’on puisse comparer avec cette fameuse liste. C’est pas le boulot de Clubic

fat_clubic

Oui, plein d’articles parlent de ces extensions mais pas moyen d’avoir la liste.