Vous avez sûrement déjà installé une extension pour votre navigateur. Mais même parmi les boutiques légitimes comme le Chrome Web Store se cachent parfois des modules malveillants. C’est le cas de deux extensions baptisées Phantom Shuttle : elles se font passer pour un proxy afin de voler vos données.

Nombreux sont les utilisateurs qui installent des extensions pour leur navigateur : certaines permettent de bloquer les pubs, de personnaliser son navigateur, de gagner en efficacité, là où d’autres permettent de contourner certaines restrictions – comme les VPN ou les proxys. Mais aujourd’hui, télécharger une extension sur une boutique légitime, comme le Chrome Web Store, n’est plus gage de sécurité totale. Parmi les véritables modules se cachent parfois des extensions malveillantes.

Récemment, des chercheurs ont découvert qu’une extension très populaire de Chrome siphonnait toutes les conversations de ses utilisateurs avec un chatbot IA… alors même qu’elle avait reçu le badge « Recommandé » décerné par Chrome. Résultat : 8 millions d’internautes exposés. Mais ce n’est malheureusement pas la seule à sévir : deux extensions, baptisées Phantom Shuttle, se font passer pour des proxys afin de détourner le trafic des internautes et dérober leurs données sensibles.

Ces extensions Chrome se font passer pour des proxys afin de siphonner vos données

Ces deux extensions ont été repérées par les chercheurs de Socket. Selon eux, elles seraient actives depuis 2017, au moins. Publiées sous le même nom de développeur, elles sont présentées comme des proxys qui permettent, en plus, de tester la vitesse du réseau. Pour en profiter, les utilisateurs doivent souscrire à un abonnement – entre 1,4 et 13,6 dollars.

D’après les chercheurs, relayés par Bleeping Computer, Phantom Shuttle force l’ensemble de la navigation des internautes à transiter par des serveurs proxy détenus par les cyberattaquants en modifiant les réglages proxy de Chrome grâce à un script d’auto-configuration.

Pour éviter d’être détectés, les pirates injectent le code responsable de ce détournement directement au début de jQuery, une bibliothèque légitime et recourent à un système d’encodage complexe afin de masquer l’adresse des serveurs vers lesquels les données sont exportées. De plus, l’attaque ignore volontairement le réseau local de la victime et ses serveurs de commande.

Le mode « smarty », celui par défaut, cible plus de 170 sites stratégiques (réseaux sociaux, services cloud, outils de développement, sites pour adultes…). Une fois positionné au milieu de la connexion (un peu à la manière d’une attaque de l’homme du milieu), l’extension peut intercepter tout ce qui transite par le navigateur : formulaires avec les identifiants, mots de passe et coordonnées bancaires, les cookies de session ou encore les jetons API des requêtes web. Voici quelques conseils pour vous protéger :

• Installer le moins d’extensions possible.
• Vérifier qui est le développeur, les avis (et pas seulement la note) et les autorisations demandées.
• Se méfier des extensions qui demandent l’accès à tous les sites ou encore le contrôle du proxy ou du réseau.