Elles ne figurent ni dans les résultats de recherche Google, ni même en consultant la liste des extensions disponible sur le Chrome Web Store. Et pourtant, elles ont réussi à passer sous les radars pendant des années, espionnant sans vergogne les habitudes de navigation d'au moins quatre millions d'utilisateurs. Une enquête édifiante dévoile l'existence de 35 extensions malveillantes (retrouvez leurs IDs ici) qui collectent activement données et cookies à l'insu des internautes.
C'est une anomalie subtile qui a mis la puce à l'oreille de John Tuckner, chercheur en cybersécurité chez Secure Annex. Au cours d'un audit interne en entreprise, il prend conscience que certaines extensions installées sur les navigateurs Chromium ne sont référencées nulle part. Après approfondissement, il découvre un réseau complexe d'extensions accessibles uniquement par lien direct et absentes des recherches. Point commun inquiétant : toutes collectent des données sensibles ou modifient activement les résultats des moteurs de recherche pour générer des revenus publicitaires.
Un système sophistiqué, des millions d'utilisateurs touchés
Parmi ces modules discrets figure "Fire Shield Extension Protection", censée protéger contre les extensions potentiellement nuisibles. Ironiquement, ce bouclier numérique demandait des permissions extrêmement larges, lui permettant la lecture complète des cookies ou la gestion des onglet, entre autres. Difficile de croire à une simple erreur de programmation quand on découvre que cet outil suspect enregistré sur le Chrome Web Store cumulait plus de 300 000 installations.
L'enquête de Tuckner révèle un schéma récurrent inquiétant : les 35 extensions identifiées sont toutes reliées à un même domaine baptisé "unknow.com". Certaines ne possèdent même aucune interface publique, restant totalement discrètes aux yeux des utilisateurs. Les plus "agressives" modifient furtivement les résultats des recherches ou redirigent vers des liens publicitaires rémunérateurs. A date, on ne sait pas si des données sensibles (bancaires, identifiants…) ont pu être dérobées. Rien ne vient étayer cette hypothèse en tout cas.
Le processus de vérification de Google en question ?
Le problème est double : d'une part, ces modules sont techniquement présents sur le Chrome Web Store, mais cachés des résultats de recherche. De l'autre, leur comportement discret, activé par intermittence via commandes à distance, complique fortement leur identification. À l'heure actuelle, seulement deux extensions sur les 35 détectées ont été supprimées par Google après signalement. Toutes les autres restent accessibles à quiconque connaît leur lien direct.
Pire encore, certaines d'entre elles affichaient fièrement le label "Featured", censé garantir leur fiabilité. Un paradoxe qui soulève des questions sur les critères réels utilisés par Google pour valider les extensions mises à disposition des internautes. Comment ces plugins invisibles ont-ils pu atteindre plusieurs millions d'installations ? Plusieurs hypothèses se dessinent : propagations via publicités malveillantes, installations groupées avec d'autres logiciels, ou diffusion automatisée. La disponibilité sur le Chrome Web Store, même cachée, facilitait leur installation en un simple clic, sans éveiller les soupçons.
