Un chercheur en sécurité, connu sous le pseudonyme qcontinuum1, a mis au jour un réseau inquiétant d’applications malveillantes. Selon Clubic, 287 extensions sur Google Chrome exfiltrent discrètement l’historique de navigation de 37,4 millions d’utilisateurs, soit environ 1 % de la base utilisateur mondiale de Chrome. Cet incident montre l’ampleur des risques liés à l’utilisation d’extensions non sécurisées et pose de sérieux problèmes de fuite de données.
Un réseau d’espionnage bien ficelé
L’analyse révèle que plusieurs acteurs, y compris des entreprises reconnues dans l’analytics, participent à cette collecte massive de données. On retrouve des noms comme Similarweb (avec son extension « Website Traffic & SEO Checker »), ainsi que Big Star Labs, Curly Doggo, Offidocs, et Avast. Par exemple, l’extension Avast Online Security est installée chez environ 6 millions d’utilisateurs.
Les techniques employées pour masquer la collecte sont particulièrement élaborées. Certaines extensions utilisent l’encodage ROT47, d’autres optent pour le chiffrement AES-256 ou des paires de clés RSA pour sécuriser l’envoi des informations vers des serveurs distants. Cette sophistication complique la détection et l’analyse des fuites.
Comment le chercheur a procédé
Pour repérer ces extensions malveillantes, qcontinuum1 a développé une méthode automatisée de surveillance du trafic réseau. En utilisant un proxy man-in-the-middle (qui intercepte et analyse le trafic) et des conteneurs Docker, il a pu annoter le trafic et identifier les exfiltrations de données. Les extensions incriminées transmettent des URL visitées, ce qui peut être chiffré ou encodé, mais la quantité de données (mesurée par la longueur des paquets) aide à détecter des fuites potentielles.
Les résultats sont publiés dans un rapport détaillé qui répertorie les 287 extensions impliquées, soulignant l’importance de la sécurité des données. Ces travaux s’inscrivent dans la continuité de recherches antérieures, notamment celles de M. Weissbacher en 2017 et R. Heaton en 2018, qui avaient déjà alerté sur les dangers des extensions de navigateur.
Quels sont les risques pour les utilisateurs
Les conséquences pour les utilisateurs sont nombreuses et souvent dommageables. Outre la publicité ciblée, il existe un risque d’espionnage industriel, surtout quand des extensions de productivité collectent des données internes d’entreprises via des URL, des adresses intranet ou des tableaux de bord SaaS. Cette collecte constitue une atteinte grave à la vie privée de chaque utilisateur et à la protection des données.
Face à ces menaces, le chercheur recommande de privilégier les extensions open source et d’examiner attentivement les permissions demandées avant toute installation. L’ensemble des extensions identifiées est listé dans son rapport, ce qui permet à chacun de vérifier si ses outils favoris sont concernés.
