Plusieurs dizaines d’extensions malveillantes ont été détectées sur le Chrome Web Store, cachées sous des apparences légitimes. Selon les chercheurs de Koi Security, 10 extensions infectées ont contaminé plus de 1,7 million d’utilisateurs, tandis que 8 autres sévissent sur le Microsoft Store avec plus de 600 000 installations. Ces modules, regroupés sous la campagne baptisée RedDirection, se dissimulent derrière le badge de développeur « vérifié », des évaluations positives et des fonctionnalités attrayantes, avant de lancer des opérations de traçage, de détournement de navigateur et d’installation de backdoors.
Liste des extensions compromises sur Chrome Web Store
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy & paste your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Weather
Leur mode d’action et techniques d’infection
Ces extensions semblent d’abord offrir la fonctionnalité promise, puis entrent en action une fois installées et mises à jour. Les auteurs ont utilisé un stratagème classique de backdoor : la première version de l’extension était propre, ce qui a permis de passer les contrôles de validation. Ensuite, un nouveau code malveillant a été injecté via un auto-update de l’extension, sans intervention de l’utilisateur. Ce code collecte des données de navigation, redirige vers des sites tiers, et assure une persistance durable en exécutant des scripts invisibles.
Lutte contre les menaces : le rôle de Google et de Microsoft
Après signalement par Koi Security, Google a retiré les 10 extensions infectées du Chrome Web Store. De leur côté, Microsoft a supprimé les 8 modules malveillants identifiés sur son propre store. Ces actions confirment l’importance de la collaboration entre chercheurs en sécurité et plateformes de distribution d’applications pour contenir rapidement la propagation de ce type de menace.
Risques pour la vie privée et la sécurité
Entraînant le suivi de chaque page visitée, le détournement de la configuration du navigateur et l’installation de portes dérobées, ces extensions compromettent :
- La confidentialité des données personnelles et bancaires.
- La sécurité des comptes en ligne, via le vol de cookies de session.
- L’intégrité du système, en ouvrant la porte à de nouvelles infections.
Propagation sur le Microsoft Store
Une enquête similaire a révélé huit extensions infectées sur le Microsoft Edge Add-ons Store :
- Unlock TikTok
- Volume Booster — Increase your sound
- Web Sound Equalizer
- Header Value
- Flash Player — games emulator
- YouTube Unblocked
- SearchGPT — ChatGPT for Search Engine
- Unlock Discord
Ces modules ont été téléchargés plus de 600 000 fois avant leur retrait, illustrant l’ampleur de la menace sur différents écosystèmes de navigateurs.
Comment détecter et supprimer ces extensions
Si vous avez installé l’une de ces extensions, voici les étapes à suivre :
- Ouvrir le gestionnaire d’extensions de Chrome (ou Edge) et désinstaller immédiatement les modules listés.
- Effacer les données de navigation : cache, cookies et historique pour supprimer les scripts persistants.
- Effectuer une analyse complète du système avec un antivirus à jour et un anti-malware spécialisé.
- Modifier les mots de passe des comptes sensibles, au cas où des sessions auraient été compromises.
Recommandations pour télécharger en toute sécurité
Pour éviter d’être victime de telles campagnes :
- Préférez les extensions très populaires avec un grand nombre de téléchargements et de retours d’expérience récents.
- Vérifiez régulièrement les autorisations demandées : méfiez-vous des modules demandant l’accès à tous les sites visités.
- Limitez le nombre d’extensions installées et supprimez celles que vous n’utilisez plus.
- Activez la mise à jour automatique de votre navigateur et de vos modules, mais restez vigilant aux alertes de sécurité.
Leçons tirées de la campagne RedDirection
Cette affaire démontre que :
- Le simple badge de « développeur vérifié » n’est pas une garantie absolue.
- Les cybercriminels exploitent les process de validation pour introduire du code malveillant en plusieurs étapes.
- La surveillance active par des sociétés de sécurité et une réaction rapide des plateformes sont essentielles.
Au-delà de la suppression, il est crucial de renforcer la détection automatique des mises à jour suspectes et d’informer en temps réel les utilisateurs. Seule une vigilance collective et des processus de contrôle robustes permettront de limiter l’impact de telles menaces sur la communauté des internautes.