Un chercheur en sécurité a identifié 287 extensions Chrome qui exfiltrent discrètement l'historique de navigation de 37,4 millions d'utilisateurs. Cela représente environ 1% de la base mondiale du navigateur de Google et implique plusieurs acteurs, dont des entreprises d'analytics reconnues.
Les extensions malveillantes continuent de proliférer sur le Chrome Web Store. Début janvier, nous apprenions que 900 000 internautes avaient été compromis par des add-ons espionnant les conversations privées et l'historique web.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un système de détection basé sur l'analyse réseau
Le chercheur qcontinuum1 a développé un dispositif automatisé pour traquer ces extensions. Il a mis en place des conteneurs Docker et un proxy man-in-the-middle qui surveille le trafic sortant des extensions. L'outil détecte si les données transmises correspondent à la longueur des URL visitées, un indicateur clé pour mesurer l'exfiltration d'historique de navigation.
Les extensions trop curieuses utilisent des techniques d'obfuscation variées. Certaines emploient l'encodage ROT47, d'autres chiffrent les données avec AES-256 et des paires de clés RSA avant de les transmettre vers des serveurs distants. Parmi les add-ons identifiés, on retrouve des noms connus comme Poper Blocker, Stylish ou BlockSite.
Quels risques pour les internautes ?
Similarweb, entreprise spécialisée dans l'analyse web, opère plusieurs extensions dont son outil officiel "Website Traffic & SEO Checker" qui compte un million d'utilisateurs. Big Star Labs, présumé affilié à Similarweb, contrôle des extensions touchant 3,7 millions de personnes. D'autres acteurs comme Curly Doggo (1,2 million), Offidocs (1,7 million) ou diverses entités chinoises complètent le tableau. Même Avast Online Security, avec six millions d'installations, a été signalé pour collecte de données.
Bien sûr, avec cet historique, l'internaute peut recevoir de la publicité très ciblée. Le chercheur a déployé des honeypots et détecté des scrapers tiers qui récupèrent activement les historiques volés, notamment des adresses IP liées à Kontera, une entreprise de publicité contextuelle rachetée par Amobee. Mais il y a également des risques d'espionnage industriel, par exemple lorsque des employés installent des extensions de productivité qui capturent les URL internes, les adresses intranet et les liens vers des tableaux de bord SaaS.
qcontinuum1 recommande de privilégier les extensions open source et de vérifier systématiquement les permissions demandées avant toute installation. La liste complète des 287 extensions est disponible dans son rapport.
