Une extension malveillante de Chrome a échappé à la sécurité de Google pendant 12 mois
Une extension Chrome contenant un logiciel malveillant caché a opéré sans être détectée dans le Web Store de Google pendant une année entière, continuant d'exposer des millions d'utilisateurs même après que Microsoft ait déjà identifié et banni la même extension d'Edge. Le logiciel malveillant a réussi à contourner les systèmes de sécurité automatisés de Google et les processus de révision manuelle tout au long de 2025, soulevant de sérieuses questions sur les procédures de vérification des extensions du géant de la recherche.
L'extension se faisait passer pour un outil de productivité légitime tout en exécutant secrètement du code malveillant en arrière-plan des navigateurs des utilisateurs. Les chercheurs en sécurité ont découvert que le logiciel malveillant était conçu pour collecter des données sensibles des utilisateurs, y compris les habitudes de navigation, les identifiants de connexion et les informations personnelles des sites Web visités. Le code malveillant était soigneusement obscurci pour éviter la détection par les scanners de sécurité de Google, utilisant des techniques avancées pour cacher son véritable objectif aux systèmes automatisés et aux examinateurs humains.
Ce qui rend cet incident particulièrement préoccupant, c'est la différence de chronologie entre les deux principales plateformes de navigation. L'équipe de sécurité d'Edge de Microsoft avait identifié et supprimé l'extension de leur magasin des mois avant que Google ne prenne des mesures similaires. Cela suggère que soit les protocoles de sécurité de Google sont moins stricts que ceux de Microsoft, soit que le partage d'informations entre les deux entreprises concernant les extensions malveillantes est inadéquat. L'extension a continué d'accumuler des téléchargements et des avis positifs pendant cette période prolongée, de nombreux utilisateurs ignorant qu'ils installaient un logiciel malveillant sur leurs systèmes.
Le logiciel malveillant a employé des techniques d'évasion sophistiquées, y compris une activation retardée pour éviter une détection immédiate et un ciblage sélectif de certains groupes démographiques d'utilisateurs. Il restait inactif pendant plusieurs jours après l'installation avant de commencer ses activités malveillantes, rendant difficile pour les utilisateurs de relier tout comportement suspect à l'extension nouvellement installée. Le code comprenait également des fonctionnalités anti-analyse conçues pour frustrer les chercheurs en sécurité tentant de rétroconcevoir sa fonctionnalité.
Des millions d'utilisateurs de Chrome exposés au risque de vol de données
L'extension malveillante a affecté des millions d'utilisateurs de Chrome dans le monde entier qui l'ont téléchargée pendant sa présence d'un an dans le Web Store. L'extension avait accumulé plus de 2,5 millions d'installations dans diverses régions géographiques, avec des taux d'adoption particulièrement élevés en Amérique du Nord et en Europe. Les utilisateurs qui ont installé l'extension entre début 2025 et mars 2026 ont potentiellement été exposés à la collecte de données, au vol d'identifiants et à l'accès non autorisé à leurs sessions de navigation.
L'impact s'étend au-delà des utilisateurs individuels pour inclure les environnements d'entreprise où les employés ont pu installer l'extension sur des appareils de l'entreprise. Les organisations utilisant Chrome comme navigateur principal font face à des violations potentielles de données, à des systèmes internes compromis et à des problèmes de conformité réglementaire si des informations commerciales sensibles ont été accédées par le logiciel malveillant. Les départements informatiques doivent maintenant mener des audits approfondis pour identifier quels systèmes ont pu être compromis et évaluer l'étendue de l'exposition potentielle des données.
Les petites entreprises et les établissements d'enseignement sont particulièrement vulnérables, car ils manquent souvent des systèmes de surveillance de sécurité sophistiqués que déploient les grandes entreprises. Beaucoup de ces organisations comptent sur des solutions antivirus de base qui n'ont peut-être pas détecté le comportement malveillant de l'extension, surtout compte tenu de ses techniques d'évasion sophistiquées. La capacité du logiciel malveillant à opérer sans être détecté pendant une période aussi prolongée signifie que les utilisateurs affectés ont pu fournir sans le savoir un accès à des mois de données de navigation sensibles et d'informations personnelles.
Étapes de suppression immédiate et recommandations de sécurité
Les utilisateurs doivent immédiatement vérifier leur liste d'extensions Chrome et supprimer toute extension suspecte ou récemment installée, en particulier celles prétendant offrir des améliorations de productivité ou des fonctionnalités d'optimisation du navigateur. Pour accéder au gestionnaire d'extensions, les utilisateurs doivent naviguer vers chrome://extensions/ dans la barre d'adresse de leur navigateur et examiner attentivement chaque extension installée pour des noms ou éditeurs inconnus. Toute extension qui ne peut pas être clairement identifiée comme légitime doit être supprimée immédiatement, et les utilisateurs doivent changer les mots de passe pour tous les comptes accédés pendant que l'extension malveillante était active.
Les administrateurs informatiques doivent déployer des audits d'extensions à l'échelle de l'entreprise en utilisant les contrôles administratifs de Chrome pour identifier et supprimer l'extension malveillante de tous les appareils gérés. Les administrateurs de Google Workspace peuvent utiliser la console d'administration pour examiner les installations d'extensions dans leur organisation et mettre en œuvre des politiques pour prévenir des incidents similaires. Les organisations devraient également revoir leurs politiques de sécurité des navigateurs et envisager de mettre en œuvre une gestion des extensions basée sur une liste blanche, où seules les extensions pré-approuvées peuvent être installées par les utilisateurs.
Les équipes de sécurité doivent surveiller le trafic réseau pour des connexions sortantes inhabituelles qui pourraient indiquer des tentatives d'exfiltration de données en cours. Le logiciel malveillant était conçu pour communiquer avec des serveurs de commande et de contrôle, donc les outils de surveillance du réseau peuvent détecter des schémas de trafic suspects même après que l'extension ait été supprimée. Les organisations devraient également examiner les journaux d'authentification pour toute tentative de connexion inhabituelle ou tout schéma d'accès aux comptes qui s'est produit pendant la période active de l'extension. TechCrunch a rapporté que les chercheurs en sécurité travaillent à identifier l'étendue complète des capacités du logiciel malveillant et à fournir des conseils d'atténuation supplémentaires.
Google a mis en œuvre des mesures de sécurité supplémentaires en réponse à cet incident, y compris une analyse automatisée améliorée pour le code obscurci et des processus de révision manuelle améliorés pour les extensions demandant des autorisations sensibles. L'entreprise a également commencé à partager plus activement des renseignements sur les menaces avec d'autres fournisseurs de navigateurs pour prévenir des lacunes de sécurité similaires entre plateformes. La couverture de Reuters Technology indique que les autorités réglementaires examinent si une surveillance supplémentaire des magasins d'extensions de navigateurs est nécessaire pour protéger les consommateurs contre des menaces similaires à l'avenir.
