Des extensions frauduleuses se baladent sur le Chrome Web Store, capables d’usurper l’identité de plugins légitimes pour siphonner vos identifiants en toute discrétion. Méfiez-vous de ce que vous installez.
On les appelle des extensions polymorphes. Distribuées comme des plugins plutôt classiques, elles savent pertinemment cacher leur jeu. Ces modules malveillants sont en effet capables d’usurper l’identité d’extensions déjà installées sur Chrome pour siphonner des identifiants à l’insu des victimes. Révélée par les équipes de SquareX, l’attaque est d’autant plus inquiétante qu’elle ne repose sur aucune faille technique : elle se contente d’exploiter des mécanismes intégrés au navigateur pour les retourner contre les internautes.
Une attaque qui frappe au bon moment
Évidemment, ces extensions polymorphes sont disponibles sur le Chome Web Store, sinon ça ne serait pas drôle. Elles se cachent derrière des modules d’optimisation, des assistants IA ou des outils marketing dont n’importe qui pourrait avoir besoin. Une fois installées, elles remplissent leur rôle, affichent les options promises et fonctionnent sans éveiller le moindre soupçon.
Mais en arrière-plan, elles passent discrètement à l’action. Elles commencent par scanner les autres extensions installées. Avec les bonnes permissions, elles exploitent l’API chrome.management pour en dresser la liste complète. Sinon, elles injectent un script sur les pages visitées pour repérer des éléments caractéristiques comme des icônes ou des fichiers propres à certaines extensions.
Dès qu’une cible de valeur est repérée – gestionnaire de mots de passe, crypto-wallet ou application bancaire –, l’attaque passe la seconde. L’extension frauduleuse désactive ou masque le plugin légitime pour éviter toute interférence, puis adopte son apparence en modifiant son nom, son icône et son interface.
Ne lui reste donc qu’à inciter l’internaute à saisir ses identifiants, ce qu’elle fait en générant de fausses alertes de session expirée ou d’authentification interrompue. En cliquant sur l’icône de l'extension frauduleuse, l’internaute n’y voit que du feu : la fenêtre de connexion est une réplique parfaite du service usurpé, au pixel près. La victime y entre donc son nom d’utilisateur et son mot de passe, qui, sans surprise, sont exfiltrés vers un serveur distant.
Dès que les pirates ont obtenu ce qu’ils cherchaient, tout rentre dans l’ordre. L’extension malveillante restaure son apparence d’origine, réactive le plugin original et efface toute trace de son passage. À ce stade, aucune alerte, aucun comportement suspect, aucun indice ne permet à l’internaute de réaliser que ses accès viennent d’être compromis.
Une faille logique, sans correctif envisagé pour le moment
Le plus embêtant dans cette affaire – outre les conséquences directes liées au vol d’identifiants –, c’est que ces extensions polymorphes n’ont rien d’un malware ultra-sophistiqué. Elles n’exploitent aucune vulnérabilité technique, mais détournent une faille logique dans la gestion des permissions et des API Chrome. En toute logique, Mountain View ne peut pas ignorer le problème, puisque tout repose sur des mécanismes qu’elle a elle-même mis en place.
Dans le cadre de ce grand détournement, l’API chrome.management n’est pas considéré par Google comme un vecteur d’attaque critique, bien qu’elle permette d’obtenir la liste des extensions installées et puisse être détournée pour identifier des cibles lucratives. Chrome n’impose pas non plus de restrictions sur les modifications d’apparence des extensions : un plugin peut changer de nom, d’icône et d’interface sans que l’internaute ne soit prévenu.
Alors que faire pour contrer la menace ? Comme d’habitude, évitez d’installer des extensions inconnues, méfiez-vous des demandes de reconnexion inhabituelles et surveillez toute activité suspecte sur votre navigateur.
De leur côté, les équipes de SquareX ont confirmé avoir contacté Google à ce sujet, et formulé diverses recommandations : bloquer toute modification d’apparence après installation sans contrôle préalable, interdire la désactivation d’extensions sans intervention explicite et afficher systématiquement une notification lorsqu’un plugin tente d’en imiter un autre. Toujours est-il qu’attendant que Mountain View réagisse – ou pas –, c’est aux internautes de rester prudents.
Source : SquareX
