87 millions d'installations... et pourtant, ces extensions contiennent un malware, êtes-vous concerné ?

L'un des gros avantages de Chrome est le nombre de plugins disponibles pour venir personnaliser le fonctionnement du navigateur. Petit problème : certains apparemment inoffensifs ont été téléchargés plus de 87 millions de fois directement depuis le Chrome Web Store. Sauf qu'inoffensifs, ils ne l'étaient pas.

En effet, nombreuses de ces extensions ont été récemment découvertes comme étant malveillantes. Les utilisateurs vouant une confiance absolue au Chrome Web Store, ils les pensaient légitimes au premier coup d'œil. Néanmoins, il se trouve que certaines d'entre elles contenaient du code compromettant la sécurité des utilisateurs. La situation est problématique et souligne la nécessité d'une surveillance accrue de la part de Google pour assurer que ses usagers ne soient pas exposés à des menaces en ligne.

Extensions malveillantes dans le store

Cette découverte vient de Wladimir Palant, fondateur de l'entreprise eyeo et inventeur du plugin Adblock Plus. Il a récemment repéré un plugin nommé PDF Toolbox, qui offrait, à première vue, la possibilité de convertir des documents office et de modifier des fichiers PDF. Rien de folichon, il en existe une pelletée du même type. 2 millions de téléchargements et une bonne note donnée par les utilisateurs, tout semblait rouler. Cependant, en creusant un peu, il a détecté des éléments suspects dans le code de l'extension.

Une fois lancée, PDF Toolbox se connectait à un site douteux et téléchargeait un code arbitraire depuis toutes les pages que consultaient les utilisateurs. Ce code est conçu en général pour accomplir des actions nuisibles : collecte d'informations sensibles comme des données bancaires, pousser à l'installation de logiciels frauduleux, etc.

Après une recherche plus approfondie, Palant découvre 34 autres plugins malveillants qui présentent des fonctions de base différentes. Au total, ces extensions ont été téléchargées 87 millions de fois. L'une des plus populaires était Autoskip for Youtube, qui a été téléchargée 9 millions de fois. Ces extensions sont restées bien au chaud dans le Store pendant au moins 6 mois avant d'être supprimées.

Les dangers de ce type d'extensions

Le premier risque est qu'elles ont un accès élargi aux données des utilisateurs. Elles peuvent lire et modifier les données de sites web, voler des informations, insérer des publicités indésirables ou modifier des résultats de recherche à loisir. Comme n'importe quel programme, elles bénéficient de mises à jour, ce qui peut renforcer leurs fonctionnalités.

Le deuxième problème est qu'une grande majorité des utilisateurs installent les extensions sans considérer les risques qui peuvent y être associés. Ils donnent l'autorisation aux plugins d'accéder à leurs données pour que ceux-ci fonctionnent correctement. C'est sur cet aspect-là que les hackers jouent afin que ces extensions puissent avoir le champ libre une fois installées dans le navigateur.

Dernier aspect, et peut-être le plus problématique de tous, l'incapacité de protection des stores officiels. Certes, des mécanismes de contrôle sont en place, mais les extensions malveillantes peuvent aisément passer à travers les mailles du filet. Pour le Chrome Web Store, ce maillage est principalement tissé grâce aux commentaires négatifs des utilisateurs. Dans les cas où ceux-ci ne remarquent rien de réellement suspect, beaucoup d'extensions restent inaperçues.

La liste non exhaustive de ces extensions contient : HyperVolume, Light picture-in-picture, Front Customizer, Adblock Dragon, Zoom Plus, Craft Cursors, Brisk VPN… La liste complète est disponible sur le site de Kapersky, en source en bas de l'article.

Moralité de cette aventure : ne pas accorder une pleine confiance aux boutiques officielles. Leurs mécanismes de défense ne sont pas assez évolués pour le moment pour gagner au jeu du chat et de la souris.

Sources : Kapersky, Palant