Une extension Chrome apparemment légitimes peut devenir une menace du jour au lendemain. Après un simple transfert de propriété entre développeurs, certaines d’entre elles se transforment en véritables chevaux de Troie, capables d’injecter du code malveillant ou de siphonner des données sensibles.
C’est précisément ce que révèlent plusieurs chercheurs en cybersécurité : des extensions autrefois fiables ont basculé dans le camp des attaquants après avoir été rachetées ou reprises par de nouveaux propriétaires. Une fois la mise à jour automatique déployée, le module peut injecter des scripts, surveiller la navigation ou voler des identifiants sans que l’utilisateur ne s’en aperçoive. Cette technique, proche d’une attaque de chaîne d’approvisionnement, exploite la confiance accordée aux extensions populaires pour diffuser du malware à grande échelle.
Un transfert de propriété qui ouvre la porte au piratage
Les extensions concernées, QuickLens et ShotBird, totalisaient plusieurs milliers d’utilisateurs avant que leurs propriétaires initiaux ne cèdent les droits à d’autres développeurs. Peu après ces transferts, des mises à jour malveillantes ont introduit des mécanismes permettant d’injecter du code arbitraire dans les pages visitées. Cette capacité d’injection de code ouvre la voie à des campagnes de piratage, où les attaquants peuvent contourner les restrictions habituelles du navigateur, telles que la politique de sécurité du contenu (CSP).
Les extensions exploitent notamment des failles comme la suppression des en-têtes de sécurité HTTP, permettant à des scripts malveillants de communiquer librement avec des serveurs externes contrôlés par des cybercriminels. Ce mode opératoire rend l’attaque presque invisible, car le code malveillant n’apparaît pas dans les fichiers sources des extensions mais est injecté dynamiquement à chaque navigation.
Mécanismes d’attaque et enjeux de protection des données
L’une des extensions crée furtivement un élément image invisible dans chaque page visitée et déclenche l’exécution d’un script venant d’un serveur distant. L’autre simule des alertes de mises à jour du navigateur pour inciter l’utilisateur à exécuter un programme malveillant sur son système local. Ce double mécanisme élargit la menace du simple navigateur vers l’ensemble du système, augmentant considérablement le risque du vol de données sensibles comme mots de passe, informations bancaires, et même des identifiants gouvernementaux.
Cette vulnérabilité souligne l’importance du contrôle rigoureux lors du changement de propriété des extensions. Les utilisateurs doivent être vigilants quant aux mises à jour qui suivent ces transferts et se renseigner sur la réputation des nouveaux développeurs. La protection des données passe aussi par une politique de sécurité renforcée des magasins d’extensions.
Lorsque les menaces se multiplient, le transfert de propriété apparaît comme une faille d’entrée pour les cybercriminels pour faciliter l’installation d’un logiciel malveillant toujours plus discret. Les entreprises et particuliers sont invités à auditer leurs installations et à surveiller les comportements suspects, car ce type d’attaque complexe est en plein essor, renforçant la nécessité de stratégies actives en cybersécurité.
