Plus de 500 extensions Chrome ont secrètement siphonné les données de navigation de millions d'utilisateurs pendant près de deux ans. Elles ont été découvertes par Google et des chercheurs de la société Duo Security. La majorité de ces extensions appartenait à un réseau frauduleux qui se faisant de l'argent via des campagnes de publicités invasives ou redirigeait les utilisateurs vers des sites de malwares ou de phishing.

La chercheuse Jamila Kaya de la société Duo Security a découvert une partie des extensions pendant une analyse de routine. Elle a remarqué qu'elles injectaient du code malveillant qui redirigeait les utilisateurs vers des sites ayant un modèle d'URL commun. Mais dans certains cas, il s'agissait de sites légitimes comme Amazon, BestBuy, ou encore Macys vers lesquels les internautes étaient via des liens affiliés.

D'autres sites encore contenaient des malwares ou avaient été mis en place pour des campagnes de phishing. 71 extensions comptant près de 2 millions d'utilisateurs ont été repérées par la chercheuse. Alerté, Google a conduit ses propres enquêtes qui ont mené à la découverte de 430 extensions supplémentaires. Elles ont depuis été supprimées du store de Chrome.

Ces extensions enregistraient secrètement les données de navigation

« Des lignes de commande et de contrôle exfiltraient les données de navigation privées à l'insu des utilisateurs », et ce, dans le but d'afficher des flux publicitaires personnalisés tout en échappant aux « mécanismes de détection des fraudes du Chrome Web Store », expliquent les chercheurs dans leur rapport.

Ils notent que la campagne était en cours depuis au moins janvier 2019 et s'est développée rapidement, de mars à juin. Il est possible que les opérateurs aient été actifs pendant une période beaucoup plus longue, peut-être dès 2017.

Ce n'est pas la première fois que ce genre de réseau est découvert. Google procède régulièrement au nettoyage du Chrome Web Store suite la découverte d'extensions malveillantes. Il s'agit d'une piqûre de rappel pour les utilisateurs qui doivent se montrer prudents lors de l'installation de nouvelles extensions. Une précaution assez efficace est de faire attention aux votes et aux commentaires.

Comme l'explique la chercheuse Jamila Kaya, la plupart des extensions identifiées dans le cas d'espèce n'avaient quasiment aucun vote ni commentaire. Souvent, ces extensions malveillantes sur Chrome sont installées frauduleusement à l'insu des utilisateurs, d'où l'importance de parcourir régulièrement votre liste et de supprimer celles que vous ne connaissez pas ou n'utilisez pas.

Source : Duo Security