Plus de 70 extensions malveillantes supprimées de Chrome

Téléchargée 32 millions de fois, une poignée d’extensions pour le navigateur de Google se sont révélées être malveillantes, siphonnant historiques de navigation et identifiants de connexion. Mountain View, prévenu, leur a donné la chasse. 

Un exemple d'accroche qui peut conduire à installer une extension Chrome malveillante (fourni par Awake Security).

Les extensions malveillantes sont un problème depuis longtemps et ça ne va pas en s’améliorant malgré les efforts que promettent les éditeurs de navigateurs. Une société de sécurité informatique, Awake Security, a alerté Google de la présence sur Chrome de plus de 70 extensions malveillantes. Gratuites, celles-ci proposaient de convertir des fichiers d’un format à un autre, ou d’avertir l’internaute lorsque celui-ci consultait un site web potentiellement malveillant. 

Or ces extensions siphonnaient l'historique de navigation et les données de connexion de l’internaute qui les installait. Awake Security assure qu’elles ont été téléchargées 32 millions de fois. Prévenu, le géant de Mountain View les a retirées de sa boutique d’extensions. "Lorsque nous sommes alertés d’extensions du Web Store violant nos politiques, nous prenons des mesures et utilisons ces incidents comme matériel de formation pour améliorer nos analyses automatisées et manuelles" explique à Reuters un porte-parole de Google.  

Campagne massive

Selon Awake Security, il s’agit de la campagne la plus massive observée sur Chrome, preuve de l’échec des navigateurs à éliminer ce type de menaces. Mountain View a de son côté refusé de s’étendre sur les détails quant à l’ampleur de l’attaque ou les raisons pour lesquelles ces extensions sont passées sous les radars.

L’entreprise de cybersécurité signale que les développeurs de ces addons malveillants ont fourni de fausses informations lorsqu'ils ont soumis les extensions à Google, et que ces dernières ont été conçues de sorte à éviter la détection par des solutions antivirus ou d’évaluation de la réputation des domaines Web. Seule piste, les 15 000 domaines malveillants derrière cette campagne ont tous été enregistrés auprès d’un registrar israelien, Galcomm, qui nie avoir eu connaissance de l’attaque et décline toute responsabilité.