Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
Attention à NexShield : un cheval de Troie se cache derrière une extension anodine
publié le 22 janvier 2026 à 14h00.
Tech
Image d'illustration. Google ChromeGoogle / PR-ADN
Présentée comme un bloqueur de publicités sur Google Chrome, elle a servi de vecteur à des attaques sophistiquées ciblant principalement les entreprises.
Tl;dr
- La fausse extension NexShield, présentée comme un bloqueur de publicités, a ciblé principalement les utilisateurs professionnels pour déployer des attaques sophistiquées.
- Elle trompe la vigilance des internautes en usurpant l’identité d’un développeur légitime et en poussant les victimes à exécuter elles-mêmes des scripts malveillants via ClickFix/CrashFix.
- Même retirée du Chrome Web Store, l’affaire rappelle l’importance de télécharger uniquement depuis des sources officielles, de vérifier les avis et de rester prudent avec les commandes copiées sur internet.
Une nouvelle menace se cache derrière les extensions de navigateur
À l’heure où la vigilance numérique devrait être de mise, une récente affaire rappelle à quel point le téléchargement d’une simple extension peut virer au cauchemar. Une fausse extension baptisée NexShield, prétendant offrir une navigation sans publicité, a été au centre d’une campagne malveillante qui cible principalement les utilisateurs en entreprise. Derrière une apparence anodine, elle s’est révélée être le cheval de Troie idéal pour déployer des attaques sophistiquées.
L’art de tromper la vigilance des internautes
Les concepteurs de NexShield ne manquent pas d’ingéniosité. Pour gagner la confiance des internautes, ils n’ont pas hésité à usurper l’identité du développeur légitime de uBlock Origin, Raymond Hill. Le piège s’affine grâce à une page dédiée et des publicités sponsorisées, diffusées via les moteurs de recherche, rendant l’extension particulièrement crédible aux yeux des moins méfiants.
Une fois installée sur Google Chrome ou Edge, la fausse extension entre en action : elle provoque un déni de service en saturant la mémoire vive de l’ordinateur par des connexions multiples en boucle infinie. L’utilisateur se retrouve alors avec un navigateur figé, incapable d’ouvrir ses onglets ou d’utiliser ses applications habituelles.
L’engrenage du faux dépannage
C’est précisément dans ce moment de panique que l’attaque prend toute son ampleur. Un message d’alerte factice surgit, invitant à « analyser » la machine pour identifier le problème. Si la victime clique sur « Exécuter l’analyse », un second message surgit, accompagné d’instructions détaillées… qui incitent à copier-coller une commande dans l’invite Windows. Cette manipulation — cœur du mode opératoire appelé ClickFix (ou sa variante baptisée CrashFix) — sert aux cybercriminels à faire exécuter par l’utilisateur même un script PowerShell malveillant récupéré à distance.
Ce délai volontaire — près d’une heure avant le déclenchement effectif — permet aux hackers de passer sous les radars tout en semant la confusion chez leurs cibles.
Comment renforcer sa sécurité face à ces attaques ?
Les victimes professionnelles subissent alors le téléchargement du malware ModeloRAT, tandis que les particuliers voient simplement apparaître un message test. Par chance, la fausse extension a été retirée du Chrome Web Store, mais il reste essentiel d’adopter quelques réflexes clés :
- Télécharger uniquement depuis les boutiques officielles comme le Chrome Web Store.
- Systématiquement consulter notes et avis avant toute installation.
- Ne jamais exécuter une commande copiée sur internet sans vérification.
Aujourd’hui plus que jamais, il apparaît crucial de limiter le nombre d’extensions installées et de toujours se poser la question : est-ce vraiment indispensable ? Car si les cybercriminels se perfectionnent, seule notre prudence constitue encore le meilleur rempart contre leurs stratagèmes.
Le Récap