Jamila Kaya est une professionnelle en cybersécurité. C’est elle, en collaboration avec la société Duo Security, qui a découvert les 71 premières extensions malveillantes sur Google Chrome. Après avoir informé Google de ce scandale, le géant américain a identifié 430 autres extensions qui collectaient les données personnelles de leurs utilisateurs sans leur dire. À ce jour, il semblerait qu’elles aient toutes été supprimées.

Les données de nombreux utilisateurs ont été exposées

Les 71 premières extensions malveillantes de Chrome découvertes par Jamila Kaya avaient été installées plus de 1,7 million de fois. Dans le rapport, nous pouvons lire que : “dans les cas relevés, les développeurs avaient spécifiquement créé des extensions qui cachaient aux utilisateurs une fonctionnalité publicitaire sous-jacente.

D’après les chercheurs, cela ne fait aucun doute : “les hackers ont développé des telles extensions afin de connecter les clients du navigateur à une architecture de commande et de contrôle et de collecter les données de navigation privées à l’insu des utilisateurs. C’est grave car les données des utilisateurs victimes de ce stratagème s’exposaient à des risques d’exploitation par le biais de flux publicitaires. Un processus qui permettait d’échapper aux mécanismes de détection des fraudes du Chrome, qui plus est”.

Y a-t-il un lien entre ces 500 extensions ?

Les plugins malveillants redirigeaient le navigateur vers l’un des serveurs de contrôle codés en dur pour recevoir des instructions supplémentaires, des emplacements pour télécharger des données et des listes de flux publicitaires. Les chercheurs ont réussi à prouver que cette “campagne” malveillante existe au moins depuis janvier 2019 et qu’elle a connu une croissance rapide, notamment entre mars et juin. Cependant, les chercheurs n’excluent pas l’éventualité que cette supercherie existe depuis de nombreuses années. Le rapport précise que :

“Ce qui a rendu le système malveillant et frauduleux était le grand volume de contenu publicitaire, la dissimulation délibérée de la plupart des publicités aux utilisateurs finaux, ainsi que l’utilisation des flux de redirection publicitaire pour envoyer les navigateurs infectés vers des sites de malware et de phishing. Deux échantillons de logiciels malveillants liés aux sites de plugins ont été recensés : ARCADEYUMGAMES.exe et MapsTrek.exe.

Si les 500 extensions semblent bien différentes, elles contiennent étrangement un code source quasiment identique. Jamila Kaya précise qu’elle a pu découvrir les plugins malveillants à l’aide de CRXcavator, un outil permettant d’évaluer la sécurité des extensions Chrome. Bref, la morale de cette histoire (qui semble être réglée) est la suivante : méfiez-vous des extensions. Nous vous conseillons tout de même de tester le plugin Suspicions Site Reporter, qui permet de dénoncer les sites web frauduleux à Google Safe Browsing.