Depuis février 2024, des extensions malveillantes prolifèrent sur Chrome, se faisant passer pour des outils utiles tout en compromettant les données des utilisateurs.
Rejoignez-nous sur vos réseaux sociaux
Aucun spam. Désinscription en un clic. Votre vie privée est respectée.
En apparence anodines et pratiques, certaines extensions proposées dans le Chrome Web Store cachent une réalité beaucoup plus sombre. Depuis le début de l’année 2024, une campagne sophistiquée de cyberattaques utilise des modules d’extension déguisés pour infiltrer les navigateurs Google Chrome. D’apparence légitime, ces outils promettent des fonctionnalités attrayantes, VPN, gestion bancaire, ou services liés aux cryptomonnaies, mais agissent en réalité comme des chevaux de Troie numériques. Une fois installées, ces extensions peuvent intercepter des sessions, collecter des cookies, exécuter du code à distance et rediriger les utilisateurs vers des sites dangereux. À la manœuvre, un acteur inconnu, dont les méthodes techniques et la discrétion soulèvent une inquiétude croissante dans le milieu de la cybersécurité.
Le phénomène a été identifié pour la première fois par DomainTools Intelligence (DTI), une plateforme de cybersécurité spécialisée dans l’analyse des menaces émergentes. Selon leurs rapports, le pirate – encore non identifié – aurait mis en place depuis février 2024 une série de sites factices mimant les grandes plateformes numériques. En reproduisant fidèlement l’apparence de services reconnus comme DeepSeek, Manus, DeBank ou encore FortiVPN, il piège les internautes en quête d’outils technologiques ou de solutions sécurisées. Ces faux sites incitent les visiteurs à installer des extensions via le Chrome Web Store. Et une fois l’extension activée, le piège se referme.
Les extensions impliquées sollicitent des permissions anormalement étendues via leur fichier manifest.json, élément clé dans la configuration de toute extension Chrome. Grâce à ce fichier, elles obtiennent un accès total aux sites visités par l’utilisateur, pouvant interagir avec les pages web, intercepter des données ou injecter du contenu malveillant. Certaines vont jusqu’à fonctionner comme des serveurs mandataires (proxy), facilitant le contournement des protections et l’acheminement d’informations vers des serveurs contrôlés par l’attaquant. L’analyse technique révèle également des tentatives de contournement des politiques de sécurité (CSP) en exploitant des failles du Document Object Model (DOM), notamment via l’attribut onreset, souvent négligé.
L’une des caractéristiques les plus troublantes de cette campagne est sa discrétion. Les extensions concernées ne perturbent pas immédiatement le fonctionnement du navigateur, ce qui retarde la détection par l’utilisateur. Pire, elles utilisent parfois des mécanismes élaborés pour manipuler la perception qu’en ont les victimes. DomainTools a notamment repéré une stratégie de manipulation des évaluations sur le Chrome Web Store. Selon leurs constatations, si un utilisateur attribue une mauvaise note à l’extension, il est automatiquement redirigé vers une page de contact fermée. En revanche, ceux qui laissent une évaluation positive sont renvoyés vers la fiche publique de l’extension, ce qui contribue à maintenir une image artificiellement favorable et à tromper les prochains utilisateurs.
Le processus d’installation et d’infection reste encore obscur. Cependant, les analystes de DomainTools évoquent plusieurs hypothèses crédibles : campagnes de phishing, publicité ciblée, publications sur les réseaux sociaux ou encore recours aux outils de promotion de Meta (organisation interdite en Russie). Le suivi des connexions sur certains des sites malveillants a mis en évidence l’intégration de traceurs Facebook, ce qui confirme l’hypothèse d’un recours au ciblage comportemental via les réseaux sociaux pour recruter les victimes.
Le modèle économique qui se cache derrière cette opération semble mêler plusieurs formes de cybercriminalité. La collecte de cookies peut permettre l’usurpation de sessions actives sur des services sensibles comme les banques ou les plateformes de cryptomonnaie. Le contrôle à distance du navigateur permet, lui, d’insérer des scripts dans des pages légitimes, créant des opportunités de phishing plus efficaces ou de redirection vers des arnaques. Certaines extensions injectent également de la publicité dans les pages web visitées, générant des revenus par fraude au clic ou détournement de trafic.
Face à l’ampleur du phénomène, Google a réagi en supprimant plusieurs des extensions signalées depuis le mois de mai 2025. Toutefois, le processus de validation des extensions reste vulnérable. Si le géant californien a renforcé les vérifications automatisées, les auteurs de logiciels malveillants parviennent souvent à contourner les filtres initiaux en modifiant légèrement leur code ou en changeant leur identité de développeur. Une extension retirée peut ainsi réapparaître sous un nouveau nom, avec une signature différente, et continuer à piéger les utilisateurs.
Les experts en cybersécurité appellent donc à une vigilance accrue. Installer une extension, même via le Chrome Web Store, n’est plus un gage de sécurité. Il est essentiel de vérifier minutieusement le nom du développeur, les autorisations demandées et les avis laissés par les utilisateurs. Toutefois, ces précautions peuvent s’avérer insuffisantes, dans la mesure où les cybercriminels manipulent aussi ces indicateurs. Dans certains cas, les faux avis sont publiés en masse par des bots ou par des utilisateurs rémunérés pour améliorer artificiellement la réputation d’un outil.
Pour les utilisateurs particuliers comme pour les entreprises, l’une des clés réside désormais dans la formation et la sensibilisation. Comprendre que toute extension installée peut potentiellement devenir une porte d’entrée pour une attaque est un premier pas vers une meilleure hygiène numérique. La prudence doit s’étendre à l’ensemble des actions en ligne, en particulier lorsqu’il s’agit de cliquer sur des liens publicitaires, de répondre à une promotion sur les réseaux sociaux ou de télécharger des outils à partir de sites peu connus.
Le cas de cette campagne malveillante soulève également des questions sur la responsabilité des plateformes. Le Chrome Web Store, à l’image des App Store ou Play Store, est censé représenter un écosystème contrôlé. La prolifération d’extensions malveillantes y met en lumière les limites des systèmes de validation automatisée et interroge la capacité des géants du numérique à protéger leurs utilisateurs.
En parallèle, les autorités nationales commencent à se mobiliser. Certaines agences de cybersécurité, comme l’ANSSI en France ou le BSI en Allemagne, ont publié des alertes à destination des entreprises et administrations. Mais à l’échelle mondiale, la coordination reste encore trop faible pour enrayer des attaques transfrontalières et adaptatives, pilotées depuis l’étranger.
Rejoignez-nous sur vos réseaux sociaux
Aucun spam. Désinscription en un clic. Votre vie privée est respectée.
