Des pirates ont transformé 145 extensions Chrome et Edge réputées sûres en outils d’espionnage, collectant discrètement les données de millions d’utilisateurs et révélant les failles du contrôle des mises à jour, à travers un plan s’étalant sur plusieurs années.
Pendant sept ans, un groupe baptisé ShadyPanda a réussi à transformer 145 extensions Chrome et Edge en véritables outils d’espionnage. Initialement légitimes lors de leur publication en 2018, ces extensions ont accumulé des millions d’installations et même obtenu pour certaines le label « Vérifié » de Google, avant de basculer discrètement dans la malware.
Selon Koi Security, toutes les extensions se comportaient normalement pendant plusieurs années, renforçant la confiance des utilisateurs et des boutiques officielles. Ce n’est qu’en 2023 que les comptes développeurs liés à ShadyPanda ont commencé à pousser des mises à jour malveillantes. Celles-ci ajoutaient une porte dérobée capable de collecter l’historique, les recherches, les cookies, les liens cliqués et des informations techniques, envoyées ensuite vers des serveurs contrôlés par les pirates.
Les mises à jour permettaient aussi d’injecter du code dans des pages HTTPS pour voler des identifiants ou manipuler des résultats de recherche afin de diriger les internautes vers des sites piégés. ShadyPanda s’est appuyé sur le mécanisme d’auto-mise à jour silencieuse de Chrome et Edge. Les extensions, installées depuis longtemps et considérées fiables, ont pu évoluer vers des versions malveillantes sans éveiller de soupçons. Koi Security critique un modèle où la vérification se concentre sur la mise en ligne initiale, sans suivi réel des versions suivantes.
Les chercheurs estiment que 4,3 millions d’utilisateurs ont été touchés. Parmi les modules épinglés figurent Clean Master, Speedtest Pro, BlockSite, plusieurs versions d’Infinity New Tab ou encore OneTab Plus. Alerté par Koi Security, Google a supprimé l’ensemble des extensions incriminées. Microsoft, en revanche, laisse encore certaines d’entre elles accessibles sur Edge Add-ons.
Cette affaire souligne une nouvelle fois les limites de la surveillance des extensions et la facilité avec laquelle des acteurs malveillants peuvent exploiter la confiance installée sur le long terme.
L'opérateur historique français annonce la future nomination de Frédéric Sanchez à la présidence de son…
Après un premier déploiement dans les offres Canal+ Caraïbes, Love Nature et Dog & Cat…
Lancées il y a quelques mois, cinq chaînes gratuites financées par la publicité s’apprêtent déjà…
Une opportunité pour les abonnés les plus curieux de participer aux nouvelles évolutions de leur…
C’est parti pour les nouveautés de la semaine ! Comme chaque dimanche, nous faisons un…
Il est encore possible de profiter du service multi-TV de Free gratuitement pendant 6 mois,…