Une menace discrète mais redoutable plane sur les utilisateurs du navigateur web le plus populaire. Les chercheurs en sécurité de Socket.dev ont mis en lumière les agissements de deux modules malveillants, tous deux baptisés « Phantom Shuttle ». Disponibles sur le Chrome Web Store officiel depuis 2017, ces outils payants promettaient un service de VPN et de test de connectivité. En réalité, leur objectif était bien plus sombre : le vol de données à grande échelle.
Comment ces extensions parviennent-elles à voler les données ?
Le mode opératoire de Phantom Shuttle est particulièrement insidieux. Une fois installées, ces extensions redirigent l'intégralité du trafic web de l'utilisateur vers des serveurs proxy contrôlés par les cybercriminels. Cette technique, connue sous le nom d'attaque de l'homme du milieu (Man-in-the-Middle), leur permet d'intercepter en clair une quantité massive d'informations sensibles transitant par le navigateur.
Les pirates peuvent ainsi capturer les noms d'utilisateur, les mots de passe, les détails de cartes bancaires et même les cookies de session. Pour ne pas éveiller les soupçons, le code malveillant était astucieusement dissimulé. Les développeurs l'ont préfixé à une bibliothèque JavaScript très commune, jQuery, le rendant presque invisible aux analyses de sécurité de Google. Cette dissimulation, combinée à une activité criminelle qui dure depuis près de huit ans, témoigne d'une opération de piratage sophistiquée.
Quelle est la stratégie des pirates pour rester indétectables ?
Les créateurs de Phantom Shuttle ont mis en place une stratégie « intelligente » pour éviter d'être repérés. Le malware n'intercepte pas tout le trafic de manière aveugle sur Chrome. Il cible une liste de plus de 170 domaines de grande valeur, incluant des plateformes de développement, des services cloud, des réseaux sociaux et même des sites pour adultes.
Cette approche ciblée permet de maximiser la récolte de données précieuses. De plus, le système est programmé pour ignorer le trafic des réseaux locaux, comme ceux des entreprises. Cette précaution évite de provoquer des ralentissements qui alerteraient les utilisateurs. Tout est fait pour que la victime continue d'utiliser le service payant sans jamais se douter que ses informations les plus confidentielles sont pillées en continu.
Comment se protéger efficacement contre ce type de menace ?
Bien que Google ait été alerté, ces extensions sont restées actives un certain temps, soulignant la nécessité d'une vigilance constante de la part des utilisateurs. La première règle est de ne faire confiance qu'aux modules proposés par des éditeurs réputés et bien établis. Avant toute installation, il est crucial de consulter attentivement les avis et les commentaires laissés par les autres utilisateurs.
Il est également recommandé de vérifier les autorisations demandées par une extension lors de son installation. Un outil qui demande des accès étendus sans justification claire est potentiellement dangereux. Enfin, un nettoyage régulier de son navigateur s'impose. En se rendant dans la section dédiée (chrome://extensions), il faut prendre le temps de supprimer tout ce qui n'est plus utilisé ou dont l'origine n'est pas clairement identifiée.