Il n’y a pas si longtemps, quelques dizaines de plug-ins malveillants furent découverts sur le Chrome Web Store, la boutique officielle des extensions de navigateur pour Google Chrome. L’extension la plus populaire avait été téléchargée plus de neuf millions de fois et, au total, ces plug-ins avaient été téléchargés environ 87 millions de fois. Nous vous expliquons ce que sont ces extensions et pourquoi elles sont dangereuses.
Extensions malveillantes sur le Chrome Web Store
Tout a commencé lorsque Vladimir Palant, chercheur indépendant en cybersécurité, a trouvé sur le Chrome Web Store une extension appelée PDF Toolbox contenant du code suspect. À première vue, il s’agissait d’un plug-in tout à fait respectable, permettant de convertir des documents Office et d’effectuer d’autres opérations simples avec des fichiers PDF.
PDF Toolbox pouvait se targuer d’avoir une base d’utilisateurs impressionnante et de bonnes critiques, avec près de deux millions de téléchargements et une note moyenne de 4,2. Toutefois, à l’intérieur de cette extension, une » fonctionnalité complémentaire » intéressante a été découverte : le plug-in accédait au site serasearchtop[.]com, depuis lequel il chargeait du code arbitraire sur toutes les pages consultées par l’utilisateur.
Par la suite, Vladimir Palant rechercha sur le Chrome Web Store d’autres extensions accédant à ce serveur, et trouva quelques dizaines de plug-ins avec des fonctionnalités supplémentaires similaires. Au total, ils avaient été téléchargés 55 millions de fois.
Finalement, muni de nombreux exemples d’extensions malveillantes, il effectua une recherche encore plus approfondie dans la boutique en ligne de Google et découvrit 34 extensions malveillantes avec des fonctionnalités de base complètement différentes. Au total, elles avaient été téléchargées 87 millions de fois. Le plug-in malveillant le plus populaire trouvé par le chercheur était » Autoskip for Youtube « , téléchargé neuf millions de fois.
Les extensions avaient été publiées sur le Chrome Web Store en 2021 et 2022, ce qui signifie qu’elles étaient disponibles depuis au moins six mois lorsque l’étude fut réalisée. De plus, parmi les avis de certaines d’entre elles, on retrouvait des plaintes d’utilisateurs vigilants au sujet d’extensions remplaçant les adresses dans les résultats de recherche par des liens vers des adwares. Comme vous pouvez le deviner, ces plaintes sont passées inaperçues auprès des modérateurs du Chrome Web Store.
Après la publication de l’étude de Vladimir Palant et d’ un autre article sur le même sujet par une équipe d’experts, Google supprima finalement les extensions dangereuses. Toutefois, cela nécessita l’intervention de plusieurs spécialistes réputés du secteur. D’ailleurs, la même histoire se produit avec Google Play. Là aussi, les plaintes des utilisateurs ordinaires restent généralement sans suite.
Pourquoi les extensions malveillantes de navigateur sont particulièrement dangereuses
Pour faire court, les extensions de navigateur présentent trois problèmes majeurs. Le premier est le niveau d’accès aux données utilisateur dont elles disposent. Pour fonctionner correctement et être utile, tout plug-in a généralement besoin de votre consentement pour lire et modifier toutes vos données sur tous les sites Web.
Eh oui, vous avez bien lu : lire et modifier toutes vos données sur tous les sites Web. En règle générale, les plug-ins de navigateur requièrent votre consentement pour consulter et modifier vos données sur tous les sites. En d’autres termes, ils voient tout ce que vous faites sur les sites que vous visitez, et peuvent modifier arbitrairement le contenu de la page affichée.
Voici ce que cela permet potentiellement aux créateurs d’extensions de faire :
- Suivre toutes les actions des utilisateurs afin de collecter et de vendre des informations à leur sujet.
- Voler les coordonnées de cartes bancaires et les identifiants de comptes.
- Intégrer des annonces dans les pages Internet.
- Remplacer des liens dans les résultats de recherche (comme mentionné ci-dessus).
- Remplacer la page d’accueil du navigateur par un lien publicitaire.
Notez que les fonctionnalités malveillantes d’un plug-in peuvent évoluer au fil du temps en fonction des objectifs de ses propriétaires. Et les propriétaires eux-mêmes peuvent changer. Il est en effet arrivé que des fonctionnalités malveillantes soient apparues dans une extension auparavant sûre après que ses créateurs ont vendu le plug-in à quelqu’un d’autre.
Le deuxième problème est que les utilisateurs accordent généralement peu d’attention aux dangers des extensions de navigateur : ils en installent beaucoup, et donnent leur consentement pour lire et modifier les données dans le navigateur. Quel choix ont-ils ? S’ils refusent, le plug-in ne fonctionnera tout simplement pas.
En théorie, les modérateurs des sites où sont proposés ces plug-ins devraient surveiller la sécurité des extensions. Mais, problème numéro trois, et comme on peut s’en douter vu ce qui a été dit précédemment, ils ne le font pas très bien. Même le Chrome Web Store officiel de Google contenait des dizaines d’extensions malveillantes. De plus, elles peuvent y rester des années, et ce malgré les avis des utilisateurs.
Que faire si vous avez installé une extension malveillante
N’oubliez pas que l’interdiction d’un plug-in dans une boutique ne signifie pas qu’il sera automatiquement supprimé des appareils de tous les utilisateurs qui l’ont installé. Il est donc judicieux de vérifier si des extensions malveillantes sont installées sur votre appareil. Supprimez immédiatement les plug-ins de la liste ci-dessous et, si nécessaire, téléchargez une alternative sûre :
- Autoskip for Youtube
- Soundboost
- Crystal Adblock
- Brisk VPN
- Clipboard Helper
- Maxi Refresher
- Quick Translation
- Easyview Reader view
- PDF Toolbox
- Epsilon Ad blocker
- Craft Cursors
- Alfablocker ad blocker
- Zoom Plus
- Base Image Downloader
- Clickish fun cursors
- Cursor-A custom cursor
- Amazing Dark Mode
- Maximum Color Changer for Youtube
- Awesome Auto Refresh
- Venus Adblock
- Adblock Dragon
- Readl Reader mode
- Volume Frenzy
- Image download center
- Font Customizer
- Easy Undo Closed Tabs
- Screence screen recorder
- OneCleaner
- Repeat button
- Leap Video Downloader
- Tap Image Downloader
- Qspeed Video Speed Controller
- HyperVolume
- Light picture-in-picture
Cette liste a été dressée par Vladimir Palant lui-même. Il note également que la liste des plug-ins malveillants peut ne pas être exhaustive. Méfiez-vous donc également des autres extensions.
Comment vous défendre contre les extensions de navigateur malveillantes
Cette histoire démontre qu’il ne faut jamais se fier aveuglément aux modérateurs des boutiques où vous téléchargez vos extensions de navigateur. Il est toujours sage de prendre ses propres précautions. Voici comment vous protéger contre les plug-ins malveillants :
- N’installez pas trop d’extensions de navigateur. Moins il y en a, plus vous êtes en sécurité.
- Avant d’installer une extension, lisez les avis à son sujet. Bien sûr, ce n’est pas une garantie de sécurité, mais dans certains cas, cela peut vous aider à démasquer un plug-in malveillant.
- Vérifiez régulièrement la liste des extensions installées et supprimez celles que vous n’utilisez pas ou dont vous n’avez pas besoin.
- Installez une solution de sécurité de confiance sur tous vos appareils.