Pendant plus de sept ans, des extensions proposées comme de simples utilitaires ont circulé pour Chrome, Edge et Firefox. Derrière cette façade rassurante, trois campagnes distinctes, baptisées ShadyPanda, GhostPoster et plus récemment DarkSpectre, ont été débusquées par les chercheurs en sécurité de Koi.
Des extensions banales ou ded espions ?
La plus ancienne, ShadyPanda, s’attaquait à l’ensemble des navigateurs pour voler des données, détourner des requêtes de recherche et générer de la fraude à l’affiliation. Elle aurait touché à elle seule 5,6 millions d’utilisateurs. Certaines extensions, validées après examen par les plateformes, intégraient même des « bombes logiques » : leur comportement malveillant ne s’activait qu’après plusieurs jours, le temps de rassurer les contrôles automatisés. GhostPoster, de son côté, ciblait surtout Firefox, en diffusant du code JavaScript destiné à manipuler des liens affiliés et à injecter des traceurs publicitaires. Là encore, des utilitaires ou de faux VPN servaient d’appâts, engrangeant parfois des centaines de milliers d’installations avant d’être modifiés.
La dernière campagne, DarkSpectre (surnommée aussi « Zoom Stealer ») marque un tournant. 18 extensions ont été identifiées comme capables de collecter, en temps réel, des données issues de réunions en ligne : liens avec mots de passe intégrés, identifiants de réunion, intitulés de sessions, horaires, voire listes de participants. Les outils visaient en priorité des services professionnels comme Zoom, Google Meet, Microsoft Teams ou GoTo Webinar.
Au-delà des réunions elles-mêmes, ces extensions aspiraient aussi des métadonnées précieuses : noms et fonctions des intervenants, biographies, logos d’entreprises, visuels promotionnels. « Ce n’est pas une arnaque pour consommateurs. C’est une infrastructure d’espionnage d’entreprise », résument les chercheurs Tuval Admoni et Gal Hachamov. « Les utilisateurs ont obtenu ce qui était promis. Pendant ce temps, la surveillance se déroulait en silence. »
Les indices techniques pointent vers un acteur basé en Chine : serveurs de commande hébergés chez Alibaba Cloud, enregistrements administratifs locaux, fragments de code en chinois et même des mécanismes de fraude visant des plateformes de commerce en ligne chinoises. Pour Koi Security, le plus inquiétant reste à venir. « DarkSpectre dispose probablement d’autres extensions encore parfaitement légitimes… pour l’instant. Elles accumulent des utilisateurs, des avis positifs, et attendent le bon moment », avertissent les analystes. Une stratégie de long terme, patiente, qui rappelle à quel point les boutiques d’extensions sont un angle mort de la sécurité informatique.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
