Certaines extensions Chrome, paraissant inoffensives, font bien plus que ce qu’elles prétendent, et de nouvelles recherches montrent à quel point des outils quotidiens peuvent rapidement devenir des menaces pour la vie privée.
Les chercheurs en sécurité avertissent que même les extensions basiques offrant des pages de nouvel onglet, des contrôles parentaux ou des résultats de recherche améliorés se sont révélées surveiller discrètement les utilisateurs, détourner des contenus du presse-papiers et imiter des marques de confiance, tout en étant présentes dans la boutique officielle des extensions de Google Chrome.
Quand les extensions utiles se retournent contre les utilisateurs
Selon une analyse approfondie menée par des chercheurs de Symantec, plusieurs extensions ayant plus de 100 000 utilisateurs affichent un comportement qui va bien au-delà de leur objectif déclaré.
Un exemple, nommé Good Tab, se présente comme une extension de nouvel onglet personnalisable avec météo et actualités. En arrière-plan, elle permet discrètement à un site distant de lire et d’écrire tout ce qui est copié dans le presse-papiers de l’utilisateur, sans l’en informer clairement. Cela signifie que des mots de passe ou des adresses de portefeuille de cryptomonnaie pourraient être subtilisés sans que les utilisateurs s’en rendent compte.
Un cas inquiétant souligné par cette recherche concerne l’imitation directe. Une extension nommée DPS Websafe prétendait fournir des résultats de recherche sans publicité, mais détournait plutôt les recherches et suivait l’activité des utilisateurs.
Pour établir un climat de confiance, elle a copié le branding et l’iconographie de Adblock Plus, un outil connu et légitime. Une fois installée, elle redirigeait discrètement les recherches à travers ses propres serveurs, ouvrant la voie à un suivi, une monétisation, et une manipulation potentielle des résultats.
Une autre extension, Children Protection, se présentait comme un outil de contrôle parental. Cependant, il s’est avéré qu’elle pouvait recueillir des cookies de navigateur pour le détournement de sessions et exécuter du code à distance provenant de serveurs externes. Ce type de comportement est typiquement associé à des logiciels malveillants plutôt qu’à des logiciels de sécurité familiale.
Parallèlement, une autre extension de navigateur nommée Stock Informer se présente comme un simple outil de suivi du marché et des devises, mais les chercheurs ont découvert qu’elle détournait discrètement les recherches des utilisateurs et les redirigeait vers des services de monétisation sans information claire.
Cette extension contient également une faille de sécurité grave qui pourrait permettre à des attaquants d’exécuter du code dans le navigateur, transformant un simple traqueur d’actions en un véritable risque pour la vie privée. Ces découvertes font écho à des cas passés où des extensions populaires comme Honey ont été scrutées pour leurs pratiques douteuses.
Les chercheurs soulignent que ce qui est le plus perturbant, c’est que toutes ces extensions ont réussi à passer le processus de vérification de Google et étaient disponibles sur la boutique Chrome. Bien que certaines aient été retirées depuis, d’autres demeurent accessibles au moment de la rédaction.
La conclusion est simple mais inconfortable. Une extension qui semble utile ou vérifiée ne garantit pas sa sécurité. Les utilisateurs doivent donc réfléchir à deux fois avant d’installer des extensions et de donner accès à leur navigateur et à leurs données.