Des millions d’utilisateurs ont installé des extensions apparemment légitimes dans leurs navigateurs, mais ignorent qu’ils sont victimes d’une vaste opération d’espionnage.
Des millions d’utilisateurs ont installé des extensions apparemment légitimes sur Chrome, Edge et Firefox sans se rendre compte qu’elles faisaient partie d’une opération d’espionnage à grande échelle
Pendant de nombreuses années, DarkSpectre est resté discret. Il n’affichait pas de publicités intrusives, ne bloquait pas le navigateur et ne suscitait pas de soupçons immédiats. C’est précisément ce qui a été sa plus grande force. D’après des chercheurs de l’entreprise de cybersécurité Koi, cette opération a réussi à s’introduire sur les navigateurs de plus de 8 millions d’utilisateurs via des extensions qui semblaient totalement normales.
La découverte s’est faite progressivement. Les analystes enquêtaient sur une campagne nommée ShadyPanda, basée sur des extensions populaires de Google Chrome et Microsoft Edge, lorsqu’ils ont commencé à identifier des motifs récurrents : des domaines cachés, des morceaux de code similaires et un comportement étrange qui ne s’activait qu’avec le temps.
- Trois campagnes, une même stratégie
- Qui se cache derrière DarkSpectre ?
Trois campagnes, une même stratégie
DarkSpectre n’était pas une menace isolée, mais une série de campagnes bien coordonnées. ShadyPanda a été la plus massive, touchant plus de 5 millions d’appareils. À ses côtés, Zoom Stealer, centrée sur le vol d’informations de vidéoconférences, et GhostPoster, plus discrète mais tout aussi persistante, surtout en Mozilla Firefox.
L’astuce résidait dans la patience. Les extensions fonctionnaient correctement pendant des mois, voire des années. Elles ne faisaient rien de malveillant lors de leur installation. Le code dangereux était téléchargé par la suite depuis des serveurs externes et s’activait avec des délais programmés ou par des ordres à distance. Le mal était déjà fait lorsqu’il se manifestait.
Espionnage, fraude et techniques avancées
Certaines variantes étaient conçues pour la surveillance à grande échelle et la fraude publicitaire. D’autres allaient encore plus loin. Zoom Stealer, par exemple, pouvait intercepter des données de réunions d’entreprise sur plusieurs plateformes : liens privés, identifiants, documents internes et même des conversations entières, transmises en temps réel.
DarkSpectre se cachait dans des dizaines d’extensions et exécutait le code malveillant à distance sur les ordinateurs de millions d’utilisateurs de Edge, Chrome et Firefox
Dans l’un des cas les plus frappants, les attaquants cachaient le code malveillant dans une image au format PNG en utilisant la stéganographie. L’icône de l’extension contenait l’attaque. Le navigateur la chargeait, extrayait le code caché et l’exécutait des heures plus tard, sans déclencher d’alerte immédiate.
Qui se cache derrière DarkSpectre ?
Les indices pointent toujours dans la même direction : une infrastructure hébergée sur Alibaba Cloud, des fournisseurs chinois et des textes en chinois dans le code lui-même. Pour les chercheurs, la combinaison de l’échelle, de la sophistication technique et des objectifs à long terme correspond à un groupe bien financé et organisé, probablement avec un support étatique.
Le cas de DarkSpectre offre une leçon pour le moins désagréable : il ne suffit pas de télécharger et d’installer des extensions populaires, bien notées ou recommandées par des experts en sécurité informatique. Même le logiciel le plus innocent peut devenir, avec le temps, une porte ouverte à l’espionnage numérique.