Une nouvelle étude met en lumière une campagne de cyberespionnage sophistiquée qui a exploité des extensions de navigateur populaires pendant des années, affectant plus de deux millions d’utilisateurs. L’infiltration a été orchestrée avec ruse, transformant des outils apparemment innocents en véritables instruments de surveillance.
Une campagne de cyberespionnage a utilisé 18 extensions apparemment utiles pour infecter des navigateurs pendant des années
Si vous avez des extensions installées sur votre navigateur, certaines d’entre elles pourraient ne pas être aussi innocentes qu’elles le paraissent. Une enquête récente a révélé une campagne d’espionnage touchant 2,3 millions de personnes via 18 extensions apparemment utiles pour Chrome et Edge. Pendant des années, ces compléments ont agi comme des outils de surveillance discrets, collectant des données privées sans que quiconque ne s’en aperçoive.
La société de cybersécurité Koi a expliqué sur son blog comment ces extensions, allant de lecteurs vidéo à des claviers emoji, ont fonctionné pendant des années sans être détectées. Les attaquants ont utilisé une stratégie astucieuse : ils offraient d’abord des services utiles avant d’introduire du code malveillant à travers des mises à jour discrètes.
Une stratégie efficace : des extensions utiles transformées en armes d’espionnage
Ce qui rend particulièrement préoccupante cette campagne, nommée « RedDirection », est sa sophistication. Les cybercriminels n’ont pas commencé avec des malwares dès le départ ; ils ont construit la confiance sur plusieurs mois ou années avant d’activer leurs fonctions malveillantes. Les extensions fonctionnaient correctement, proposant des services comme le contrôle du volume, des prévisions météorologiques ou des sélecteurs de couleurs, gagnant ainsi la confiance de millions d’utilisateurs.
Cependant, lors de mises à jour automatiques ultérieures, ces compléments ont commencé à suivre toutes les pages visitées par les utilisateurs, y compris les URL complètes et les schémas de navigation. Toutes ces informations étaient envoyées à des serveurs distants avec des identifiants uniques pour chaque victime, créant ainsi des profils détaillés du comportement en ligne.
Parmi les extensions compromises figurent des noms que vous reconnaîtrez probablement : Color Picker, Eyedropper, Video Speed Controller, Emoji Keyboard Online et Dark Theme – Dark Reader. Tous ces outils avaient des milliers de téléchargements et des avis positifs, ce qui les rendait complètement légitimes.
La capacité de rediriger les utilisateurs vers des sites frauduleux à la demande du serveur central complétait un arsenal potentiellement utilisé pour le phishing, les fraudes financières ou l’accès non autorisé à des comptes personnels. Bien que Koi n’ait pas observé de redirections actives lors de ses tests, le risque demeure tant que ces extensions restent installées.
Les attaquants ont exploité des failles structurelles dans les systèmes de vérification de Google et Microsoft. Les plateformes permettent aux développeurs de mettre à jour des extensions sans notifier les utilisateurs, un mécanisme que les cybercriminels ont utilisé pour introduire des malwares des années après le lancement initial. Certaines extensions avaient même le certificat « vérifié » de Google, les faisant paraître complètement sécurisées.
Ce n’est pas la première fois que des extensions malicieuses compromettent la sécurité de millions d’utilisateurs. En 2023, Google a supprimé trois extensions de VPN pour Chrome qui ont volé des données de plus de 1,5 million d’utilisateurs, tandis qu’en 2022, cinq extensions généreraient des revenus en modifiant des cookies sur des stores en ligne sans autorisation.
Pour vous protéger contre de futures menaces, les experts recommandent de désinstaller immédiatement toute extension figurant sur la liste des affectées, de supprimer les données de navigation pour effacer les identifiants de suivi et de réaliser un scan de sécurité de l’appareil. Il est aussi important de vérifier les identifiants uniques lors de l’installation d’extensions, de limiter les autorisations inutiles et de considérer la désactivation des mises à jour automatiques.
RedDirection n’est pas un cas isolé. Nous avons déjà vu des problèmes similaires avec les 500 extensions malveillantes découvertes en 2020 ou le piratage de Facebook qui a vendu 80 000 messages privés facilité par des extensions compromises. La réalité est que réexaminer régulièrement les extensions installées est devenu une nécessité.