LINUX
Une extension Chrome “vérifiée” par Google qui prend des captures d’écran en secret ? Ça paraît fou, et pourtant c’est exactement ce qui vient d’être découvert. Plus de 100 000 utilisateurs se sont fait avoir, et l’extension avait même le badge officiel de Google. Plongée dans les entrailles d’une cyberattaque qui montre à quel point le Chrome Web Store peut être trompeur.
Le piège parfait : une extension “légitime” qui vous espionne
Imaginez la scène. Vous installez tranquillement une extension depuis le Chrome Web Store officiel. Elle a de bonnes notes, des milliers de téléchargements, et même ce petit badge rassurant “Vérifié par Google” qui vous fait penser que tout va bien. Vous vous sentez en sécurité, protégé par l’écosystème de la firme de Mountain View.
Erreur monumentale.
Les chercheurs en sécurité viennent de débusquer une extension qui, tout en remplissant parfaitement sa fonction annoncée, capturait discrètement des screenshots de votre écran en arrière-plan. Sans votre consentement, évidemment. Sans notification aucune. À votre insu le plus total. Le genre de truc qui fait froid dans le dos quand on réalise tout ce qu’on fait devant son écran dans une journée.
Le plus dingue dans cette histoire ? Cette saloperie d’extension avait dépassé les 100 000 installations et était estampillée “vérifiée” par Google. Autant dire que le système de validation de Google a brillé par son inefficacité totale.
Comment ça marche : l’art de l’espionnage discret
La technique utilisée ici relève du cheval de Troie moderne, mais en bien plus vicieux. L’extension commence par fonctionner normalement pendant des semaines, voire des mois, histoire d’établir sa réputation et de rassurer les utilisateurs. Puis, via une “simple” mise à jour automatique, le code malveillant est injecté. Et là, c’est le drame.
Le génie diabolique de cette approche, c’est que les utilisateurs avaient déjà accepté toutes les permissions nécessaires lors de l’installation initiale. Pas besoin de redemander quoi que ce soit, pas d’alerte suspecte, rien. L’extension exploitait tranquillement ses permissions d’accès à tous les sites web, son droit d’interaction avec l’onglet actif, sa capacité d’exécution en arrière-plan et son accès au stockage local.
En gros, elle pouvait voir tout ce que vous faisiez, sur tous les sites, en permanence. Vos mots de passe saisis, vos conversations privées, vos documents confidentiels, vos informations bancaires – tout y passait. Un cauchemar de vie privée à l’état pur.
L’écosystème Chrome Web Store : un Far West mal surveillé
Cette attaque met en lumière les failles béantes du système de validation de Google. Certes, Mountain View vérifie s’il y a du code malveillant évident dans la version initiale, contrôle que les permissions demandées correspondent aux fonctionnalités annoncées, et s’assure de l’absence de malware connu. Mais c’est là que ça s’arrête.
Google ne surveille pas l’évolution du code après publication, ne fait aucune surveillance continue des mises à jour, n’effectue aucune analyse comportementale en temps réel, et ne réalise aucun audit des serveurs externes contactés par les extensions. Autant dire que c’est la porte ouverte à toutes les fenêtres pour les cybercriminels un minimum malins.
Les chiffres donnent le tournis. En 2023, pas moins de 87 millions d’installations d’extensions malveillantes ont été découvertes. La campagne “RedDirection” a touché 2,3 millions d’utilisateurs. En février 2025, 3,2 millions de personnes ont été victimes d’extensions piratées. Et on a récemment découvert 35 extensions cachées qui espionnaient depuis des années sans être détectées.
Le pattern est clair : les cybercriminels ont parfaitement compris que le Chrome Web Store était une mine d’or pour distribuer leurs malwares “légalement”, avec le sceau d’approbation officiel de Google.
Reverse engineering : dans le ventre de la bête
Quand les experts en sécurité ont disséqué cette extension malveillante, ils ont découvert un petit bijou d’ingénierie sociale et technique. Le code malveillant utilisait les API natives de Chrome pour capturer périodiquement l’onglet actif, compresser et encoder les images, puis les transmettre de manière chiffrée vers des serveurs externes. Un stockage temporaire local permettait d’éviter la détection en cas de coupure réseau.
Pour passer sous les radars des systèmes de détection, l’extension utilisait des techniques d’obfuscation particulièrement sophistiquées. Le code malveillant était réparti dans plusieurs fichiers pour éviter la détection par signature, téléchargé dynamiquement depuis un serveur externe pour échapper à l’analyse statique, et ne s’activait qu’après 48 heures d’installation pour laisser le temps aux utilisateurs de prendre confiance. Certaines versions utilisaient même du géofencing pour adopter un comportement différent selon la localisation IP de l’utilisateur.
Les vraies victimes : nous tous
L’impact de cette technique va bien au-delà de ce qu’on pourrait imaginer. Avec cette méthode de capture d’écran, les attaquants pouvaient récupérer absolument tout ce qui s’affichait à l’écran : informations bancaires saisies dans les formulaires, mots de passe temporairement visibles, messages privés sur les plateformes de communication, documents confidentiels ouverts dans le navigateur, et même les codes de double authentification affichés momentanément.
D’après l’analyse forensique des logs serveurs récupérés après la découverte de l’attaque, chaque utilisateur infecté générait en moyenne 23 captures d’écran par jour. Au total, plus de 1,2 téraoctet de données ont été exfiltrées, incluant potentiellement 847 mots de passe et 156 numéros de carte bancaire visibles dans les screenshots capturés.
Ces chiffres donnent une idée de l’ampleur du désastre, mais la réalité est probablement bien pire car de nombreuses données n’ont pas pu être récupérées lors de l’enquête.
Comment se protéger : guide de survie
La première chose à faire, c’est un audit complet de vos extensions actuelles. Rendez-vous dans les paramètres de Chrome en tapant chrome://extensions/ dans votre barre d’adresse, et passez en revue chaque extension installée. Pour chacune d’entre elles, vérifiez la date de dernière mise à jour – une mise à jour très récente peut être suspecte. Examinez les permissions accordées en gardant en tête que moins il y en a, mieux c’est. Le nombre d’utilisateurs n’est pas forcément un gage de sécurité, et les avis récents négatifs peuvent révéler des problèmes émergents.
La règle d’or en matière d’extensions, c’est qu’une extension égale un risque. Moins vous en avez, mieux vous vous portez. Avant d’installer quoi que ce soit, demandez-vous si le développeur est connu et établi, si le code source est disponible (les projets open source sont généralement plus sûrs), si les permissions demandées sont justifiées par les fonctionnalités annoncées, s’il n’y a pas d’avis récents alarmants, et surtout si cette extension est vraiment indispensable à votre productivité.
Une fois vos extensions installées, restez vigilant. Surveillez les ralentissements inexpliqués de votre navigateur, les publicités qui apparaissent soudainement là où il n’y en avait pas avant, l’activité réseau anormale, et prenez l’habitude d’auditer vos extensions au moins une fois par mois.
L’industrie réagit (enfin)
Face à ces révélations embarrassantes, Google promet désormais un scan automatique des mises à jour d’extensions, l’utilisation du machine learning pour détecter les comportements suspects, et l’instauration d’un délai de validation obligatoire pour les updates critiques. On verra si ces promesses se concrétisent vraiment ou si elles resteront de belles paroles.
Mozilla, de son côté, a déjà pris les devants avec Firefox en implémentant une signature cryptographique obligatoire des extensions, un sandboxing renforcé des permissions, et un système de review communautaire des extensions populaires. Une approche plus proactive qui force le respect.
Des solutions tierces émergent également. Des outils comme CRXcavator permettent d’analyser le niveau de risque d’une extension avant installation, tandis qu’Extension Defender surveille en temps réel le comportement de vos plugins installés.
Verdict : la confiance, ça se mérite
Cette attaque nous rappelle une vérité fondamentale du web moderne : sur Internet, la paranoia n’est pas un défaut, c’est une qualité de survie. Le Chrome Web Store n’est pas plus sûr qu’un site de téléchargement de logiciels douteux trouvé au fond de Google. La seule différence, c’est l’illusion de sécurité que nous donne le logo Google et ses petits badges rassurants.
Au final, il faut traiter chaque extension comme un logiciel potentiellement malveillant, parce qu’au bout du compte, c’est exactement ce que ça peut être. Cette histoire nous montre que même les systèmes supposés les plus sûrs peuvent être détournés par des acteurs malveillants suffisamment déterminés et créatifs.
Et vous, combien d’extensions avez-vous installées sans vraiment vous poser de questions ? Peut-être qu’il est temps de faire le grand ménage et de se demander si cette extension de conversion d’unités ou ce sélecteur de couleurs valent vraiment le risque de se faire espionner…
Sources : generation-nt.com
C’est une excellente question ! L’attaque par l’extension Chrome malveillante a fonctionné en tirant parti d’une extension conçue pour sembler inoffensive. Une fois installée, elle a pu capter les données des utilisateurs, comme les identifiants ou d’autres informations sensibles. Ce type d’attaque est malheureusement fréquent, car il joue sur la confiance que les utilisateurs accordent aux extensions pour améliorer leur expérience de navigation. Il est toujours recommandé de n’installer des extensions qu’à partir de sources fiables et de lire attentivement les autorisations demandées avant de les ajouter à votre navigateur.