Extensions Chrome et Edge: KOI accuse WeTab et Infinity V+ de siphonner des données

WeTab et Infinity V+ se retrouvent dans le viseur après que des spécialistes en cybersécurité ont indiqué que ces extensions, ainsi que plusieurs autres modules pour Chrome, auraient discrètement détourné des navigateurs et siphonné des données sensibles pendant des années. D’après KOI, environ 4,3 millions d’utilisateurs de Chrome et de Microsoft Edge ont été happés par une campagne qui ne reposait ni sur l’hameçonnage ni sur l’ingénierie sociale, mais sur des mises à jour silencieuses d’extensions déjà populaires.

KOI attribue l’opération à un groupe qu’il désigne sous le nom de ShadyPanda. La méthode, d’un pragmatisme désarmant: publier des extensions pleinement fonctionnelles, bâtir peu à peu audience, notes et téléchargements, puis glisser des mises à jour embarquant du code malveillant. Les boutiques d’extensions contrôlant en général plus sévèrement les soumissions au lancement que les changements ultérieurs, des outils en apparence fiables pouvaient ainsi s’installer durablement sans faire de vagues. Une stratégie de patience qui exploite un angle mort bien connu, rien d’innovant mais redoutablement efficace.

Le rapport de KOI décrit plusieurs incidents, dont deux campagnes en 2023. Dans la première, des dizaines d’extensions se faisant passer pour des packs de fonds d’écran et des utilitaires auraient suivi le comportement des internautes et modifié le contenu de pages sur eBay, Amazon et Booking.com en injectant des balises d’affiliation et des traceurs pour monétiser achats et données de trafic. Dans la seconde, les fonctions malveillantes étaient liées à Infinity V+ : l’extension redirigeait les recherches vers une ressource externe, capturait des cookies, enregistrait ce que les utilisateurs tapaient dans la barre de recherche et exfiltrait ces informations vers des serveurs extérieurs.

KOI évoque aussi une « première étape » au cours de laquelle cinq extensions ont reçu une porte dérobée permettant l’exécution de code à distance, touchant environ 300 000 utilisateurs. Certaines étaient présentes depuis 2018–2019 et arboraient même des badges laissant entendre qu’elles étaient recommandées ; à la mi‑2024, après la hausse des installations, elles auraient reçu une mise à jour ajoutant cette backdoor. Le module pouvait récupérer régulièrement des commandes, télécharger du JavaScript arbitraire, l’exécuter avec les privilèges des API du navigateur et injecter du contenu HTTPS malveillant sur n’importe quel site. Il collectait aussi l’historique de navigation, les référents, des horodatages, des identifiants persistants, une empreinte complète du navigateur et d’autres données, tout en essayant de se faire discret si le mode développeur était activé.

La partie la plus étoffée de l’étude se concentre sur une « deuxième étape ». Selon KOI, cinq autres extensions du même développeur ont intégré la boutique Edge et dépassé ensemble les 4 millions d’installations, dont deux potentiellement capables de déclencher l’installation de malwares. L’extension de nouvel onglet WeTab a retenu l’essentiel de l’attention : elle est créditée d’environ 3 millions d’installations et aurait envoyé subrepticement de la télémétrie, incluant les URL visitées, les résultats de recherche, les clics de souris, l’empreinte du navigateur, les interactions sur la page et les événements d’accès au stockage. KOI affirme que ces données transitaient par de nombreux domaines, et que le mécanisme de mise à jour pouvait transformer à tout moment des navigateurs compromis en nœuds contrôlables pour de nouvelles attaques.

Tout cela met en lumière la fragilité du modèle de confiance qui entoure les extensions : même un module populaire et bien noté peut changer de nature après une mise à jour. Le conseil pratique tient en peu de mots, mais mérite d’être rappelé : passez en revue vos extensions, supprimez ce qui n’est pas indispensable, vérifiez attentivement les permissions et, si le navigateur adopte un comportement inhabituel, lancez un contrôle du système et changez vos mots de passe, surtout si une extension a pu accéder aux cookies et à l’historique de navigation. Des gestes simples, mais souvent décisifs.