Vous croyiez avoir installé un simple thème ou un clavier emoji sur votre navigateur ? En réalité, ces extensions pour Chrome et Edge espionnaient vos moindres clics depuis des mois.
Une équipe de chercheurs de Koi Security vient de dévoiler une campagne de surveillance discrète mais massive. Elle exploite des extensions Chrome et Edge présentées comme totalement inoffensives.
Derrière des promesses anodines (météo, volume, émojis, thèmes) se cache un système d’espionnage coordonné. 18 extensions au total sont concernées, disponibles librement sur les boutiques officielles de Google et Microsoft.
Ces extensions proposent un vrai service utile, ce qui leur permet d’échapper à toute suspicion initiale. Pourtant, elles embarquent aussi un code malveillant capable de suivre les activités des utilisateurs. Chaque outil se connecte à un sous-domaine de commande distant et donne l’illusion de campagnes isolées. Mais les chercheurs ont prouvé que tout fonctionne depuis une même infrastructure centralisée, baptisée RedDirection.
Le cas emblématique de « Geco Colorpick »
L’extension « Color Picker, Eyedropper — Geco colorpick » a été l’une des premières identifiées. Avec plus de 100 000 installations et 800 avis positifs, elle semblait parfaitement fiable. Mais elle traquait en réalité chaque URL visitée et envoyait les données vers un serveur distant. D’autres extensions ciblées comprenaient également des proxys VPN, des boosts vidéo ou des débloqueurs YouTube.
Pour éviter les filtres de sécurité, les créateurs ont opté pour une approche rusée : publier une version propre, puis intégrer le code malveillant des mois ou années plus tard. Cette stratégie a permis de contourner les vérifications de Google et Microsoft. Pire encore, certaines de ces extensions avaient reçu des badges de validation et figuraient dans les sélections mises en avant.
Le malware injecté permet plusieurs actions précises : capturer les pages consultées, générer des redirections, transmettre des identifiants uniques. En d’autres termes, il est capable d’établir un suivi utilisateur détaillé et même de manipuler la navigation à distance. « Ces signaux de confiance sont devenus des outils pour les pirates », explique Idan Dardikman dans son rapport publié sur Medium.
Que faire si vous avez installé ces extensions ?
Si vous utilisez Chrome ou Edge, prenez quelques précautions simples mais essentielles. Supprimez les extensions concernées, videz le cache de navigation et exécutez une analyse complète du système. Il est aussi conseillé de vérifier l’activité de vos comptes si vous avez navigué sur des sites sensibles. Jusqu’ici, ni Google ni Microsoft n’ont répondu publiquement au rapport.
