Cyberespionnage sur Chrome : 145 extensions infectées ont espionné 4,3 millions d’internautes 👾

Click here to read in English

Pendant près de sept ans, une opération de cyberespionnage est passée totalement inaperçue sur les navigateurs Chrome et Edge. Derrière cette campagne, un groupe criminel baptisé ShadyPanda, qui a réussi à transformer 145 extensions pourtant légitimes à l’origine en véritables logiciels espions. Résultat : 4,3 millions d’utilisateurs ont vu leur navigation siphonnée sans que Google ne s’en aperçoive.

Des extensions irréprochables… 🧩

Les chercheurs de Koi Security ont révélé que les extensions incriminées, publiées en 2018, ne présentaient aucun comportement malveillant à leur lancement. Elles ont été installées depuis les boutiques officielles — Chrome Web Store et Edge Add-ons. Certaines cumulaient même des dizaines de milliers d’avis positifs et affichaient le badge « Vérifié » de Google.

Cette stratégie patiente a permis aux pirates d’instaurer une confiance durable auprès des utilisateurs comme des plateformes. Pendant plusieurs années, les extensions fonctionnaient normalement, renforçant leur crédibilité.

Tout bascule en 2023⚠️

Les premières activités suspectes apparaissent en 2023. Les comptes développeurs contrôlés par ShadyPanda déclenchent alors une mise à jour de bascule. Cette mise à jour introduit notamment :

• l’ajout d’une porte dérobée,
• l’activation d’un module d’espionnage,
• la collecte massive des données d’usage.

Les extensions deviennent capables d’exfiltrer :

• l’historique de navigation complet,
• les recherches effectuées,
• tous les liens cliqués,
• les cookies,
• des données techniques du navigateur.

Ces informations sont ensuite envoyées vers des serveurs contrôlés par le groupe criminel.

Plus grave encore, les pirates pouvaient injecter du code malveillant dans des pages HTTPS, de quoi leur permettre de dérober des identifiants ou manipuler les résultats de recherche pour rediriger les victimes vers des sites piégés.

Des mises à jour silencieuses 🔄

ShadyPanda a profité du mécanisme d’auto-mise à jour standard des extensions de Chrome et Edge. Celles-ci, téléchargées automatiquement en arrière-plan, passent généralement inaperçues.

Les chercheurs déplorent ainsi que les boutiques « vérifient surtout la version initiale au moment de la soumission, mais surveillent très peu les updates ». Une faiblesse bien connue, que ShadyPanda a méthodiquement exploitée.

Un impact massif 🌐

Selon Koi Security, la campagne d’espionnage a affecté environ 4,3 millions d’internautes.

« Cet acteur a appris à exploiter les plateformes d’extensions. Il a instauré la confiance, fidélisé des utilisateurs, puis mené ses attaques via des mises à jour discrètes », résument les chercheurs.

Parmi les extensions compromises, on retrouve notamment :

• Clean Master
• Speedtest Pro – Free Online
• Internet Speed Test
• BlockSite
• Address Bar Search Engine Switcher
• Infinity New Tab (plusieurs versions)
• Dream Afar New Tab
• OneTab Plus
• Download Manager Pro
• Halo 4K Wallpaper HD HomePage
• Galaxy Theme Wallpaper HD

Google réagit, Microsoft traîne 🛡️

Averti par Koi Security, Google a immédiatement supprimé l’ensemble des extensions malveillantes de son Chrome Web Store. Microsoft, en revanche, n’a pas encore totalement nettoyé sa boutique : certaines extensions compromises seraient encore accessibles sur Edge Add-ons.

Cette campagne de longue durée rappelle à quel point les extensions de navigateur, malgré leur apparente innocuité, peuvent devenir un vecteur d’attaque redoutable. Les experts appellent désormais Google et Microsoft à renforcer le contrôle des mises à jour et à surveiller plus activement l’évolution des extensions déjà validées.

👉🏾 Faites-vous régulièrement le tri dans vos extensions de navigateur ? Dites-nous en commentaires.