Des chercheurs en cybersécurité viennent de démontrer que des extensions peuvent, au détour d’une simple mise à jour, devenir une menace.
Les chercheurs de Socket ont récemment découvert deux extensions VPN gratuites, espionnaient discrètement le contenu du presse-papiers des utilisateurs. Vendues sous la marque « VPN Go », elles étaient disponibles sur les boutiques officielles Chrome Web Store et sur les modules Firefox. Et pourtant, elles ne contenaient aucun code malveillant lors de leur publication. Celui-ci n’a été ajouté que plusieurs mois plus tard, via une mise à jour, alors que les utilisateurs leur faisaient déjà confiance.

Une fois la mise à jour installée, ces extensions surveillaient en permanence le presse-papiers. Cette dernière est la mémoire temporaire qui stocke tout ce que vous copiez avant de le coller ailleurs. Ces logiciels espions pouvaient ainsi récupérer des mots de passe, des codes d’authentification, des adresses électroniques, des clés d’API ou encore les phrases de récupération de portefeuilles de cryptomonnaies. Elles transmettent ensuite ces informations vers un serveur contrôlé par des cybercriminels.
Concrètement, cette forme d’attaque cible un geste quotidien souvent anodin, commun à beaucoup d’utilisateurs : le copier-coller. Pour limiter ce risque, les spécialistes recommandent d’utiliser autant que possible le remplissage automatique (autofill). Cette option est celle que proposent les gestionnaires de mots de passe. Contrairement au copier-coller manuel, elle n’expose pas les identifiants via le presse-papiers.
Les deux extensions concernées ont depuis été retirées des boutiques de Chrome et Firefox. Mais, les chercheurs de Socket indiquent avoir identifié une vaste campagne impliquant 108 extensions Chrome malveillantes, représentant près de 20 000 installations.
Cette affaire rappelle également qu’un VPN ou un proxy n’est jamais réellement gratuit. Faire transiter le trafic Internet des utilisateurs nécessite des serveurs, de la bande passante et une infrastructure coûteuse à exploiter. Lorsqu’un service promet un accès illimité sans contrepartie financière, il doit forcément trouver un autre moyen de se rémunérer. Dans certains cas, cela passe par la collecte, consentie ou frauduleuse ou encore la revente de données personnelles. Aussi, avant d’installer une extension, mieux vaut privilégier les éditeurs reconnus.














































