Deux extensions Chrome malveillantes ont été prises la main dans le sac en train de piller vos données. Elles sont capables de détourner tout votre trafic web vers des serveurs contrôlés par des pirates , ce qui permet d’intercepter mots de passe, identifiants et données bancaires.
Deux extensions Chrome malveillantes ont été débusquées par les chercheurs en sécurité de Socket.dev. Les extensions sont disponibles sur le Chrome Web Store, la boutique d’extensions officielle de Google, depuis au moins 2017. Toutes les deux intitulées Phantom Shuttle, elles ont été mises en ligne par le même développeur. Elles se présentent comme des plugins de VPN qui permettent aussi de tester la connectivité et la vitesse du réseau Internet. Il ne s’agit pas de solutions gratuites. Les développeurs proposent leurs services par le biais d’un abonnement, allant de 1,40 à 13,60 dollars.
« Cette durée d’activité de plus de huit ans, combinée au fait que l’infrastructure est toujours en ligne, montre qu’il s’agit d’un acteur malveillant bien installé qui mène des opérations criminelles au long cours », analyse Socket.dev.
A lire aussi : 7 ans d’espionnage sur Chrome – 4,3 millions d’internautes ont été piratés à l’insu de Google
Vol de mots de passe, d’identifiants et de données bancaires sur Chrome
Une fois installées, les extensions vont intercepter tout le trafic web de l’utilisateur et le rediriger sur des serveurs proxy contrôlés par l’attaquant. En interceptant le trafic, les pirates sont en mesure de capturer une montagne de données en transit. C’est le cas des noms d’utilisateur, des mots de passe, d’informations de carte bancaire et d’autres données de paiement saisies sur des formulaires, de données personnelles ou de cookies de session. On parle donc d’une opération de pillage de données de grande envergure.
Le code malveillant à l’origine de la redirection du trafic web a été soigneusement dissimulé par les développeurs. En effet, celui-ci se cache dans une bibliothèque très courante, à savoir jQuery. En préfixant le malware au fichier jQuery, le code malveillant est passé inaperçu et est parvenu à éviter la détection par les services de Google.
A lire aussi : Mise en avant par Google, cette extension Chrome espionne vos conversations avec ChatGPT, Gemini et 8 autres IA
Un mode intelligent pour passer sous le radar
Pour éviter de se faire repérer, les extensions disposent d’un mode de redirection qu’on peut qualifier d’intelligent. Le code malveillant est en effet programmé pour intercepter le trafic de plus de 170 domaines, à l’exception d’une poignée de sites. Les extensions n’interceptent pas le trafic des réseaux locaux, comme ceux d’une entreprise. Cette précaution évite de causer des lenteurs et des perturbations qui pourraient aboutir à la détection d’un comportement anormal. Les pirates veulent évidemment éviter que l’utilisateur se rende compte de quoi que ce soit.
Ces « extensions comptent à ce jour plus de 2 180 utilisateurs et sont toujours active », regrette Socket.dev. Les extensions visent surtout les utilisateurs chinois. Sans surprise, Google a été alerté de la situation.
Pour éviter de tomber dans un piège, on conseille aux internautes de ne pas installer d’extensions méconnues. Contentez-vous des extensions Chrome proposées par des éditeurs réputés. Par ailleurs, consultez systématiquement les avis et les commentaires avant d’installer une extension sur votre navigateur. Enfin, faites régulièrement le ménage via chrome://extensions et supprimez tout ce qui n’est plus utilisé ou qui n’est pas clairement reconnu.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.