Un véritable empire criminel chinois a orchestré une campagne d'infiltration à grande échelle. L'offensive, initialement détectée sur Microsoft Edge, s'est rapidement propagée à Firefox et Chrome.
Les experts de LayerX, en collaboration avec Koi Security, ont identifié une infrastructure et des tactiques communes à toutes ces extensions, confirmant l'ampleur d'une opération aux moyens considérables et au succès opérationnel durable, certaines étant actives depuis 2020.
Comment ces extensions parviennent-elles à tromper la vigilance ?
Le mode opératoire de ces modules est particulièrement retors. Une fois installées, les extensions malveillantes observent une phase de dormance allant de 48 heures à cinq jours. Cette activation différée est une stratégie délibérée pour déjouer les contrôles de sécurité automatisés des boutiques d'applications de Google, Microsoft et Mozilla. Pendant cette période, l'extension se comporte normalement, endormant la méfiance de l'utilisateur.
Pour dissimuler leur charge utile, les cybercriminels emploient une technique de stéganographie. Le code malveillant n'est pas directement présent dans les scripts de l'extension, mais il est caché au sein même des fichiers images, le plus souvent l'icône du module au format PNG. Ce chargeur dissimulé est ensuite extrait et reconstruit dynamiquement dans le navigateur au moment de l'exécution, rendant sa détection extrêmement complexe.
Quels sont les risques concrets pour les utilisateurs ?
Une fois actives, ces extensions deviennent de redoutables outils d'espionnage. Leur objectif principal est le vol d'identifiants, de mots de passe et d'historiques de navigation. Pour ce faire, elles injectent des scripts invisibles dans les pages web que vous visitez, interceptant ainsi toutes les données sensibles que vous pourriez saisir.
Au-delà du vol d'informations, la campagne vise aussi la fraude publicitaire. Les modules peuvent détourner des liens d'affiliation, injecter des iframes publicitaires invisibles et surveiller vos habitudes de navigation pour dresser un profil publicitaire détaillé. Ce profil est ensuite monétisé à votre insu. Certaines variantes vont jusqu'à affaiblir les protections du navigateur en modifiant les en-têtes de sécurité HTTP.
Quelle est la liste des extensions à supprimer immédiatement ?
Au total, plus de 840 000 installations ont été recensées sur les trois navigateurs. Même si Microsoft et Mozilla ont déjà retiré les modules de leurs plateformes, les extensions déjà installées restent actives et dangereuses. Il est donc impératif de les désinstaller manuellement et dès que possible. Un ménage de printemps régulier via l'adresse `chrome://extensions` est fortement recommandé pour vérifier et supprimer tout ce qui paraît suspect.
Voici la liste complète des extensions concernées, qui couvrent des thématiques populaires comme la traduction, la capture d'écran ou le blocage de publicités :
- Page Screenshot Clipper
- Full Page Screenshot
- Convert Everything
- Translate Selected Text with Google
- Youtube Download
- RSS Feed
- Ads Block Ultimate
- AdBlocker
- Color Enhancer
- Floating Player – PiP Mode
- One Key Translate
- Cool Cursor
- Google Translate in Right Click
- Translate Selected Text with Right Click
- Amazon Price History
- Save Image to Pinterest on Right Click
- Instagram Downloader
Foire Aux Questions (FAQ)
Pourquoi ces extensions n'ont-elles pas été détectées plus tôt ?
Leur succès repose sur deux techniques avancées : une phase de dormance de plusieurs jours après l'installation pour éviter les scanners automatiques, et la stéganographie, qui consiste à cacher le code malveillant dans des fichiers images en apparence inoffensifs.
Que faire si j'ai installé l'une de ces extensions ?
Vous devez la désinstaller immédiatement depuis le gestionnaire d'extensions de votre navigateur (par exemple, en tapant `chrome://extensions` dans la barre d'adresse de Chrome). Profitez-en pour examiner toutes les autres extensions installées et supprimer celles que vous n'utilisez plus ou que vous ne reconnaissez pas.
Suis-je en sécurité si l'extension a été retirée du store officiel ?
Non. Le retrait d'une extension d'une boutique en ligne empêche de nouvelles installations, mais ne la supprime pas des navigateurs où elle est déjà présente. L'action de suppression doit impérativement être effectuée manuellement par l'utilisateur pour neutraliser la menace.
