Les extensions populaires de Chrome ont été compromises : que faire ?
En février 2025, l'équipe GitLab Threat Intelligence a identifié au moins 16 extensions Chrome malveillantes affectant plus de 3,2 millions d'utilisateurs. Ces extensions étaient licites, installées via les boutiques officielles du navigateur par des développeurs de confiance, mais elles ont ensuite été corrompues par des "mises à jour" malveillantes.
L'enquête a permis de déterminer que cette attaque provenait de comptes de développeurs compromis. Certains développeurs ont cessé de prendre en charge leurs extensions à l'avance, perdant ainsi le contrôle de celles-ci, tandis que d'autres, toujours en charge, ont probablement été trompés par des kits de phishing.
Les mises à jour d'extensions malveillantes ont introduit des scripts cachés qui volaient secrètement des données, modifiaient les requêtes web et injectaient des publicités dans les sites web. Ces changements sont passés inaperçus pour les utilisateurs, car ils avaient déjà accordé les autorisations nécessaires, ce qui a permis aux attaquants de manipuler le contenu des sites web et les interactions avec les utilisateurs de manière transparente.
Quels sont les risques encourus par les utilisateurs ?
Les dommages causés par cette campagne malveillante ne sont pas clairs, mais les autorisations telles que 'host access' et 'scripting controls' présentent des risques importants, car elles permettent l'extraction d'informations sensibles, notamment les détails des cartes bancaires, les identifiants de connexion, les jetons d'authentification et les cookies — ce qui pourrait permettre aux attaquants de contrôler les comptes d'utilisateurs ou d'accéder à des messages privés.
Les extensions peuvent également modifier le contenu des pages web en temps réel, ce qui crée des opportunités de fraude, comme la modification des détails des transactions sur les sites web bancaires pour tromper les utilisateurs. En outre, les attaquants peuvent injecter des publicités, rediriger les utilisateurs vers des sites d'hameçonnage ou générer de faux clics pour exploiter les revenus publicitaires.
Les utilisateurs des extensions concernées ont laissé de nombreux commentaires dans le Chrome Web Store, suggérant que les extensions étaient devenues malveillantes à un moment donné. Les utilisateurs ont notamment remarqué des publicités étrangement placées, des identifiants d'affiliés ajoutés aux liens de service et des problèmes avec console.log - une fonction intégrée utilisée pour le débogage et l'analyse de code :
Source : GitLab Security Tech Notes
Les bloqueurs de publicité et le problème de confiance
Au total, 16 extensions ont été compromises, leur liste complète est disponible sur la page de recherche. Nous avons toutefois remarqué que trois d'entre elles étaient des bloqueurs de publicité (Adblocker for Chrome - NoAds, Adblock for You et Adblock for Chrome).
En tant que bloqueur de publicité, nous trouvons cela particulièrement inquiétant. Il y a cinq ans, nous avons dénoncé de "fausses" extensions de blocage de publicités impliquées dans le cookie stuffing à des fins de fraude publicitaire. Ces extensions, contrôlées à distance, injectaient silencieusement des cookies d'affiliation dans les navigateurs des utilisateurs. Il est important de noter que certaines de ces extensions étaient des "bombes à retardement", prêtes à commettre d'autres actions malveillantes dès qu'elles recevraient une nouvelle commande d'un serveur distant. En résumé, il est essentiel de choisir une solution de blocage des publicités digne de confiance ; les conséquences d'un mauvais choix peuvent être graves.
Dans le cas présent, les développeurs de l'extension n'avaient aucune intention malveillante. Leurs extensions étaient à l'origine sûres, mais elles ont ensuite été compromises par des acteurs menaçants. Toutefois, à titre de précaution générale, nous recommandons une fois de plus de suivre les directives suivantes :
- N'installez que des extensions provenant de sources fiables, telles que des magasins officiels ou des sites Web vérifiés.
- Faites des recherches sur le développeur avant d'installer l'extension
- Examinez la politique de confidentialité pour comprendre l'utilisation des données
- Soyez prudent lorsque vous accordez des autorisations, en particulier si une extension demande un accès excessif.
- Supprimez régulièrement les extensions que vous n'utilisez plus afin de minimiser le risque de mises à jour malveillantes.
Les utilisateurs accordent souvent des autorisations sans bien comprendre leurs implications, surtout si une extension semble utile ou de bonne réputation. Une fois accordées, ces permissions restent en vigueur jusqu'à ce que l'extension soit supprimée, ce qui permet aux pirates de les exploiter au fil du temps. Et comme nous pouvons le voir, puisque les extensions se mettent à jour automatiquement, une extension de confiance peut par la suite introduire des mises à jour malveillantes, compromettant ainsi la sécurité de l'utilisateur sans qu'il en soit averti.
Les extensions concernées ont déjà été supprimées de la boutique Chrome, mais les utilisateurs devraient également les supprimer de leurs appareils et rester vigilants pour se protéger contre des incidents similaires à l'avenir.
Consultez ce numéro de notre série TechTok pour en savoir plus sur la manière de déterminer quelles applications et extensions sont dignes de confiance. Restez vigilants et donnez la priorité à la sécurité dans vos choix !