Pendant sept ans, une entité pirate intitulée ShadyPanda a transformé 145 extensions Chrome et Edge en véritables logiciels espions. Au terme de leur mutation, les extensions étaient capables de siphonner l’historique, les cookies et les recherches des internautes.
Les chercheurs de Koi Security ont découvert 145 extensions malveillantes visant Google Chrome et Microsoft Edge. Lors de leur lancement en 2018, les extensions épinglées étaient tout à fait légitimes. Selon les chercheurs, les premières versions n’avaient pas la moindre fonction malveillante. Publiées sur les boutiques officielles, à savoir le Chrome Web Store et Edge Add-ons, les extensions gagnent au fil des ans beaucoup d’installations et cumulent des avis positifs.
Certaines extensions obtiennent même un label Vérifié de la part de Google. Celui-ci indique que l’éditeur de l’extension est considéré comme fiable par Google et que son identité a été contrôlée. Bref, Google a été berné par les pirates.
Toutes les extensions ont été publiées par une entité criminelle baptisée ShadyPanda par les chercheurs. Pendant plusieurs années, ces extensions se sont comportées tout à fait normalement, ce qui a renforcé la confiance des utilisateurs et des boutiques de Google et de Microsoft.
À lire aussi : Alerte rouge sur Chrome – 100 extensions se font passer pour des services connus, comme YouTube ou Deepseek
Des extensions légitimes transformées en malwares espions
Les premiers signes d’activité malveillante ont été observés cinq ans plus tard, en 2023. Cette année-là, des comptes de développeurs sous le contrôle de ShadyPanda se sont mis à déployer des mises à jour des extensions. Profitant de la popularité des extensions déployées en 2018, ils ont déployé une mise à jour ajoutant une porte dérobée sur le navigateur de millions d’internautes. Les ajouts malveillants ont été progressifs.
Au fil des ans, les extensions ont été transformées en véritable outil d’espionnage. Suite aux mises à jour, les extensions se sont mises à exfiltrer l’historique de navigation, les mots clés tapés sur Google, tous les liens sur lesquels vous avez cliqués, les cookies, ou encore les paramètres techniques du navigateur. Ces informations étaient directement envoyées sur des domaines contrôlés par ShadyPanda.
Le même mécanisme de mise à jour permettait aussi d’injecter du code malveillant dans des pages HTTPS pour voler des identifiants ou détourner des sessions actives. Par ailleurs, les extensions pouvaient manipuler les résultats de recherche pour envoyer les internautes sur des sites piégés.
À lire aussi : Ces 57 extensions Chrome peuvent espionner 6 millions de PC, désinstallez-les d’urgence
Le problème des mises à jour
Les extensions ShadyPanda utilisaient le mécanisme d’auto‑mise à jour standard de Chrome et Edge. La nouvelle version était ainsi téléchargée en arrière‑plan, sans fenêtre visible pour l’utilisateur. Étant donné que les extensions étaient vérifiées et fiables depuis des années, personne ne se méfiait des mises à jour. Koi Security regrette que les boutiques examinent surtout l’extension au moment de la soumission, mais « ne regardent pas vraiment ce qui se passe après ». ShadyPanda a exploité cette négligence bien connue en attendant parfois plusieurs années avant de basculer vers une version malveillante, une fois tous les contrôles passés.
Les chercheurs estiment qu’environ 4,3 millions d’utilisateurs de Chrome et Edge ont été touchés par la campagne d’espionnage de ShadyPanda. Pendant sept ans, « cet acteur a appris à exploiter les plateformes de téléchargement d’extensions pour navigateurs : il a instauré la confiance, fidélisé des utilisateurs et mené des actions ciblées par le biais de mises à jour discrètes », résume Koi Security.
Parmi les principales extensions épinglées par le rapport, on trouve Clean Master, Speedtest Pro – Free Online Internet Speed Test, BlockSite, Address bar search engine switcher, SafeSwift New Tab, Infinity V+ New Tab, OneTab Plus: Tab Manage & Productivity, WeTab 新标签页 (WeTab New Tab Page), Infinity New Tab for Mobile, Infinity New Tab (Pro), Infinity New Tab, Dream Afar New Tab, Download Manager Pro, Galaxy Theme Wallpaper HD 4k HomePage, et Halo 4K Wallpaper HD HomePage.
Alerté par les experts de Koi Security, Google a fait le ménage en supprimant toutes les extensions malveillantes liées à la campagne. Ce n’est malheureusement pas le cas de Microsoft. Certaines extensions sont encore disponibles sur la boutique d’extensions de Microsoft Edge.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
Koi Security