Nouvelle alerte dans l’univers Chrome. Des chercheurs en cybersécurité de Socket ont identifié 108 extensions malveillantes liées à une même infrastructure de commande à distance. Derrière des outils en apparence banals, allant de modules pour Telegram à des jeux, traducteurs ou aides pour YouTube et TikTok, ces extensions servaient en réalité à voler des données, injecter du contenu et ouvrir des portes dérobées dans le navigateur.

Selon le rapport publié lundi, l’ensemble de cette campagne totalisait environ 20 000 installations au moment de l’analyse. Socket affirme que 54 extensions étaient conçues pour récupérer l’identité Google d’un utilisateur via OAuth2, tandis que 45 autres embarquaient une porte dérobée capable d’ouvrir des URL arbitraires au démarrage du navigateur. Le rapport mentionne aussi une extension qui exfiltrait des sessions Telegram Web toutes les 15 secondes, ainsi que plusieurs modules qui contournaient des protections de sécurité sur YouTube et TikTok pour y injecter de la publicité.

Ce qui inquiète le plus, ce n’est pas seulement le nombre d’extensions concernées, mais leur présence sur la boutique officielle de Chrome. Socket indique qu’elles étaient publiées sous cinq identités distinctes, Yana Project, GameGen, SideGames, Rodeo Games et InterAlt, tout en communiquant avec la même infrastructure arrière. Autrement dit, il ne s’agirait pas d’incidents isolés, mais d’une opération coordonnée pensée pour passer sous les radars en multipliant les façades.

L’affaire relance aussi les questions sur la capacité de Google à filtrer les modules malveillants dans son écosystème. Google rappelle, dans sa documentation de sécurité, que Chrome analyse les extensions avant et après leur publication et que la page chrome://extensions peut afficher des avertissements lorsqu’un module présente un risque. Mais dans ce cas précis, Socket affirme avoir dû soumettre des demandes de retrait à l’équipe de sécurité du Chrome Web Store et à Google Safe Browsing, ce qui laisse entendre qu’au moment de la publication du rapport, les modules étaient toujours accessibles.

Pour les utilisateurs, le risque est concret. Une extension de navigateur peut voir énormément de choses, pages consultées, sessions actives, identifiants, contenus affichés et parfois même données de connexion indirectes. Cette nouvelle campagne montre encore une fois que l’extension la plus dangereuse n’est pas toujours celle qui semble suspecte, mais parfois celle qui paraît utile, discrète et bien intégrée à une tâche précise.

La recommandation est simple. Il faut faire le ménage dans ses extensions Chrome, supprimer tout module peu utilisé ou d’origine incertaine, vérifier les permissions accordées et consulter la page de contrôle des extensions. Pour les organisations, cette affaire donne aussi du poids aux approches plus strictes qui limitent l’installation d’extensions aux seules options approuvées par les équipes TI. Au moment d’écrire ces lignes, je ne sais pas si Google avait déjà retiré l’ensemble des 108 extensions signalées.

Source : Socket, The hacker news

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.