Pendant sept ans, un acteur malveillant a patiemment exploité la confiance accordée aux extensions web pour bâtir un empire mêlant fraude, détournement de moteur de recherche, collecte massive de données et, dans sa phase la plus avancée, prise de contrôle complète du navigateur.
Les équipes de Koi Security ont remonté le fil d’une opération qui, sur le papier, ressemble à un cas d’école en matière de patience et d’opportunisme. Sous le nom de ShadyPanda, un même acteur a diffusé, depuis 2018, des centaines d’extensions web pour Chrome et Edge, saines en apparence, parfois même mises en avant par les stores officiels. Mais une fois la base d’utilisateurs et d’utilisatrices consolidée, plusieurs de ces modules ont reçu une mise à jour qui les a transformés en spyware géant ou en backdoor permettant l’exécution de code à distance. Bilan de la campagne, plus de 4,3 millions de victimes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Patience et longueur de temps…
À l’origine, la campagne ShadyPanda repérée par Koi ressemblait davantage à une opération de monétisation agressive qu’à un projet d’espionnage ultra-sophistiqué. En 2023, les équipes de recherche recensent plus d’une centaine d’extensions frauduleuses publiées sur le Chrome Web Store et sur le catalogue Edge. Toutes se présentent comme des thèmes, des gestionnaires d’onglets ou de petits outils de productivité, avec des descriptions standardisées. Leur objectif principal consiste à injecter des identifiants d’affiliation lors de visites sur des sites marchands et à intégrer des scripts de mesure d’audience pour tracer les sites consultés, les requêtes et une partie des interactions, de manière à capter des commissions à l’insu des internautes et à monétiser des profils de navigation.
Mais très vite, ShadyPanda pousse plus loin le contrôle exercé dans le navigateur avec des extensions de personnalisation de la page de nouvel onglet, comme Infinity V+. Derrière une interface orientée productivité, l’extension redirige toutes les recherches vers un moteur intermédiaire déjà connu pour du hijacking, journalise les requêtes, manipule potentiellement les résultats et lit certains cookies pour définir des identifiants persistants. Tout ce qui est tapé dans la barre de recherche est envoyé en temps réel vers des serveurs externes, y compris les fautes de frappe, les corrections et les hésitations. Google et Microsoft finissent par flairer l’entourloupe, et plusieurs de ces extensions sont supprimées côté Chrome comme côté Edge.
Tirant visiblement les leçons de ces revers, ShadyPanda change alors de méthode. Plutôt que de pousser très vite des comportements agressifs, le groupe adopte une stratégie de long terme avec cinq extensions mises en ligne dès 2018 et 2019, dont Clean Master. Pendant plusieurs années, ces extensions malveillantes dormantes ont fonctionné de manière irréprochable, gagnant des dizaines puis des centaines de milliers d’installations, accumulant des avis positifs et décrochant parfois un badge de mise en avant ou de vérification. Sachant qu’un module web bien noté, ancien et mis en avant par le store inspire une confiance quasi-automatique, ShadyPanda laisse le temps faire son œuvre.
Mi-2024, une fois la barre des 300 000 installations cumulées dépassée, le groupe passe à l’offensive et publie une mise à jour pour ces cinq extensions via les dispositifs officiels d’auto-update de Chrome et d’Edge. Cette nouvelle version n’introduit pas de nouveauté visible, mais ajoute en réalité un ensemble de fonctions destinées à transformer ces extensions en backdoor. Toutes les heures, elles contactent un serveur de commande pour récupérer du JavaScript à exécuter avec les permissions complètes dont elles disposent dans le navigateur. Le code ainsi chargé peut surveiller chaque site visité, exfiltrer l’historique, générer des identifiants persistants synchronisés entre appareils et récupérer les empreintes détaillées des navigateurs.
Des systèmes de contrôle automatisé insuffisants
Dans la foulée de la publication du rapport, Google a fini par purger du Chrome Web Store les extensions identifiées. En revanche, on ne peut pas en dire autant de Microsoft. À ce jour, Koi signale que les cinq extensions publiées par Starlab Technology, l’éditeur de Clean Master dans le store Edge, cumulent encore plus de 4 millions d’installations et sont toujours accessibles. La plus populaire, WeTab, revendique à elle seule environ 3 millions d’installations et collecte une quantité considérable de données, qu’elle envoie vers une dizaine de domaines, en grande partie hébergés en Chine.
Évidemment, ce que met en lumière l’affaire ShadyPanda dépasse la seule liste d’extensions compromises. L’opération exploite une faiblesse structurelle du modèle de sécurité des stores de Chrome et d’Edge, qui concentrent l’essentiel de leurs efforts sur la phase de soumission initiale. En règle générale, une extension est examinée sérieusement au moment de sa première publication, puis elle bénéficie d’une forme de présomption de bonne conduite qui tient compte des indicateurs de réputation, comme le nombre d’installations, l’ancienneté, les badges mis en avant sur la fiche et les retours positifs de la communauté. Tant que l’éditeur joue le jeu, le système tient. En revanche, si le développeur conçoit dès le départ son extension comme un cheval de Troie dormant, on a tôt fait d’atteindre les limites du contrôle de sécurité automatisé.
Quoi qu’il en soit, pour les particuliers, le risque immédiat tient au niveau de détail des données aspirées par ces extensions. La collecte systématique de l’historique de navigation, des requêtes, des clics et des paramètres techniques du navigateur permet de dresser des profils fins, d’anticiper des centres d’intérêt, de suivre des habitudes de connexion et de croiser ces informations avec d’autres sources. Plus inquiétant encore, la possibilité d’intercepter ou de modifier du contenu dans des pages sensibles peut aussi donner lieu à des attaques ciblées sur des portails bancaires, des boîtes mail ou des applications web critiques.
Concernant les entreprises, les implications sont encore plus lourdes. Il suffit qu’un poste de développeur ou d’administrateur soit équipé de l’une des extensions opérées par ShadyPanda pour que les attaquants voient passer des mots de passe, des clés API sensibles ou des jetons d’authentification persistants.
Par conséquent, passez au peigne fin la liste des extensions installées sur votre navigateur, supprimez celles dont vous ne vous servez plus, ainsi que celles qui ne reçoivent plus de mises à jour, et méfiez-vous systématiquement des éditeurs exigeant un accès complet à l’historique et aux données de tous les sites.
Source : Koi Security
