Des extensions Chrome et Edge devenues espion

Plusieurs millions d’utilisateurs ont été ciblés par ShadyPanda, un malware caché derrière des outils apparemment anodins.

Des extensions populaires transformées en espion

Il aura fallu plusieurs années pour que le pot aux roses soit découvert : derrière des extensions apparemment anodines sur Chrome et Edge, la campagne baptisée ShadyPanda a réussi à détourner l’attention de plus de 4,3 millions d’utilisateurs. Selon les experts de Koi Security, l’opération reposait sur un mécanisme subtil : des mises à jour successives, réalisées en toute discrétion via le système automatique censé protéger les usagers.

Koi Security explique ainsi que « le pipeline de mise à jour fiable de Chrome et Edge livrait silencieusement des logiciels malveillants aux utilisateurs. Pas d’hameçonnage, pas d’ingénierie sociale. Juste des extensions réputées qui, via de petits changements de version, se muent en outils de surveillance ». On comprend alors comment certaines extensions, installées dès 2018 comme simples applications de fonds d’écran ou outils de productivité, se sont vues peu à peu dotées de fonctionnalités intrusives.

Piratage invisible et collecte massive de données

Les chercheurs ont mis au jour un arsenal impressionnant déployé par ShadyPanda. Une fois actives, ces extensions injectaient des codes dans les liens légitimes pour capter des revenus sur les achats effectués par les internautes. Mais elles ne s’arrêtaient pas là : détournement des recherches, collecte des historiques, saisies clavier, cookies, voire données biométriques comme l’empreinte digitale ou les mouvements de souris… La liste est longue.

Plus inquiétant encore : certaines versions intégraient une porte dérobée permettant d’exécuter du code à distance toutes les heures. Cette faculté ouvrait la voie à une surveillance totale des sites visités par la victime — et même à la mise en place d’attaques dites « adversary in the middle », facilitant le vol d’identifiants ou le détournement de sessions. À noter que ces extensions se faisaient passer pour inoffensives dès qu’un utilisateur ouvrait les outils développeur du navigateur.

Quels risques, quelles réactions ?

Si Google a supprimé ces ajouts frauduleux du Chrome Web Store, certaines versions restent actives sur la plateforme Microsoft Edge Add-ons ; une extension y revendique jusqu’à trois millions d’installations. Difficile toutefois d’estimer si ce chiffre reflète la réalité ou sert simplement à rassurer (à tort) les utilisateurs.

En pratique, il convient aujourd’hui de vérifier sa liste d’extensions installées comme Clean Master, WeTab ou encore Infinity V+. Le retrait immédiat est impératif pour limiter tout dommage supplémentaire.

Sécurité renforcée : quelques gestes essentiels

Pour mieux se prémunir après une telle intrusion, il est vivement conseillé — quitte à s’armer de patience — de renouveler tous ses mots de passe (un gestionnaire dédié peut grandement aider). Par ailleurs, investir dans un bon antivirus reste utile : il permettra non seulement d’éliminer d’éventuels malwares résiduels mais aussi d’ajouter une couche supplémentaire contre ce type de menaces insidieuses. Enfin, prudence maximale : limitez strictement le nombre d’extensions utilisées et ne téléchargez que celles dont la réputation est irréprochable.

Face à la sophistication croissante des attaques comme celle orchestrée par ShadyPanda, rester vigilant n’a jamais été aussi crucial.