Elles promettaient un client Telegram plus pratique ou quelques fonctions en plus sur YouTube et TikTok pour mieux voler vos données et détourner vos comptes. Une centaine d’extensions malveillantes ont pullulé sur le Chrome Web Store, et certaines sont toujours en ligne.
Le Chrome Web Store a encore laissé passer un joli lot d’extensions problématiques. Des chercheurs de Socket ont identifié 108 modules publiés sous plusieurs noms d’éditeur distincts, mais reliés à une même infrastructure malveillante. Ensemble, ces plugins de navigateur totalisaient environ 20 000 installations et couvraient des usages suffisamment variés pour toucher large, du client de messagerie aux utilitaires de traduction, en passant par des mini-jeux et des outils censés améliorer YouTube ou TikTok. À la clé, vol de données Google, détournement de sessions Telegram, injections de scripts, ouvertures forcées de pages web et collecte d’informations de navigation.
Des extensions fonctionnelles et très, très intrusives
Dans le détail, les extensions repérées par les équipes de Socket faisaient bien ce qu’elles promettaient, tout en s’intégrant assez profondément à Chrome pour injecter du code dans les pages web visitées, intercepter ou modifier des requêtes, dialoguer avec un serveur distant et parfois même agir dès le lancement du navigateur, sans que l’utilisateur ou l’utilisatrice n’ouvre quoi que ce soit.
Cette implantation leur donnait une marge d’action bien plus large qu’il n’y paraissait. Elles pouvaient ainsi supprimer des en-têtes de sécurité sur des sites ciblés avant même le chargement complet des pages, embarquer une porte dérobée capable de récupérer une URL à ouvrir à distance, faire transiter les contenus soumis à traduction par les serveurs des opérateurs ou encore réinjecter dans leur propre interface du contenu fourni par cette même infrastructure.
Une partie de ces extensions récupérait aussi des données d’identité associées à un compte Google au moment de la connexion, notamment l’adresse mail, le nom, la photo de profil et l’identifiant stable du compte. D’autres siphonnaient les sessions web Telegram à intervalles réguliers, ce qui suffisait à ouvrir l’accès aux messages, aux contacts et aux comptes liés, sans mot de passe ni code de double authentification. À cela s’ajoutaient des ouvertures forcées de pages web, des injections de contenu dans les sites visités et, plus généralement, une collecte de données sans rapport avec la fonction affichée par l’extension.
Bref, pas juste des extensions trop gourmandes, mais de vrais petits postes d’observation branchés en permanence sur le navigateur.
Des extensions toujours disponibles
Même si Google a fini par désactiver une partie de ces extensions, ce n’est toujours pas le cas pour toutes, comme nous avons pu le vérifier par nous-mêmes au moment de la rédaction de cet article. Mieux vaut donc ne pas compter uniquement sur un retrait du Chrome Web Store pour régler le problème.
Le premier réflexe consiste à rechercher les modules concernés dans Chrome et à les supprimer manuellement. La liste complète des noms et des identifiants est disponible dans les indicateurs de compromission publiés par Socket.
Si vous avez utilisé l’une des extensions liées à Telegram, coupez toutes les sessions Telegram Web depuis l’application mobile. En cas de connexion via un compte Google, contrôlez aussi les appareils connectés, vérifiez les accès récents, passez en revue les accès tiers autorisés et révoquez tout ce qui vous semble suspect.
