Les utilisateurs de Chrome pensaient installer une extension gratuite pour convertir des fichiers ou être avertis lorsqu’ils visitaient un site douteux, ils installaient en fait un logiciel espion. Plus de 70 applications de ce type ont été supprimées de la boutique en ligne officielle de Google Chrome selon Reuters.

L’une des campagnes malveillantes les plus importantes en termes de téléchargement

Awake Security, une entreprise de cybersécurité a dévoilé récemment avoir mis en lumière une vaste opération d’espionnage passant par des extensions de Google Chrome. Plus de 70 de ces dernières récupéraient l’historique de navigation et des données qui permettaient d’accéder à des outils internes d’entreprises.

Ces extensions étaient librement disponibles sur la boutique officielle de Chrome suggérant que Google n’avait pas détecté le logiciel espion. En février Google avait déjà dû supprimer 500 extensions avec, notamment, des fonctionnalités publicitaires sous-jacentes. Selon un porte-parole du groupe relayé par Reuters, « Lorsque nous sommes avertis de l'existence d'extensions dans le Web Store qui violent nos politiques, nous prenons des mesures et utilisons ces incidents comme matériel de formation pour améliorer nos analyses automatisées et manuelles ».

Nous savons que les extensions ont été téléchargées 32 millions de fois ce qui est, selon le co-fondateur et responsable scientifique d’Awake, Gary Colomb, la campagne malveillante la plus importante jamais tentée en termes de téléchargement.

Mountain View n’a pas divulgué les particularités de ces extensions ni la masse de données qu’elles ont pu accumuler. Le logiciel cessait de transmettre lorsque il était utilisé dans le cadre de l’entreprise, pour transmettre les données à 15 000 domaines lors d’une connexion privée.

La piste s’arrête à un registre de domaine israélien qui proclame son innocence

L’origine de cette campagne reste mystérieuse. Les équipes d’Awake sont remontées jusqu’à la société israélienne où étaient enregistrés les 15 000 domaines, Galcomm. Pour Awake, Galcomm était au courant ou devait soupçonner le caractère illicite de ces domaines. Contacté par Reuters, le propriétaire de l’entreprise, Moshe Fogel, affirme que Galcomm n’est pas impliquée, il a déclaré « nous coopérons avec les forces de l’ordre ». Galcomm ne serait pas connu pour être utilisé pour des campagnes malveillantes selon l'Internet Corporation for Assigned Names and Numbers (ICANN).

En quelques mois cela fait plusieurs que des extensions du marché Chrome servent de vecteur à des logiciels malveillants malgré les promesses de Google d’améliorer la sécurité. Il y a encore du travail.