Les extensions de navigateur sont plus dangereuses qu’il n’y paraît

Nous avons tous déjà installé une extension de navigateur : bloqueur de pubs, traducteur en ligne, correcteur d’orthographe ou autre. Pourtant, peu de personnes prennent le temps de se demander si c’est dangereux. Malheureusement, ces mini-applications innocentes peuvent s’avérer beaucoup plus dangereuses que ce que l’on pourrait croire. Voyons quelles pourraient être les problèmes. Pour ce faire, nous allons prendre comme référence le rapport que nos experts ont récemment publié sur les groupes d’extensions malveillantes de navigateur les plus courants.

Qu’est-ce qu’une extension et à quoi sert-elle ?

Commençons par définir de quoi il s’agit et identifions l’origine du problème. Une extension de navigateur est un plug-in qui ajoute une nouvelle fonctionnalité à votre navigateur. Par exemple, l’extension peut bloquer les publicités d’un site Web, créer des notes, vérifier l’orthographe, etc. Pour les navigateurs les plus connus, il existe des boutiques officielles d’extensions qui vous aident à choisir, comparer et installer les plug-ins souhaités. Pourtant, les extensions peuvent aussi être installées à partir de sources non officielles.

Il convient de souligner que pour qu’une extension fonctionne, elle doit pouvoir lire et modifier le contenu des sites que vous consultez dans le navigateur. Elle ne servira à rien sans cet accès.

Dans le cas de Google Chrome, les extensions doivent pouvoir lire et modifier toutes vos données sur tous les sites que vous visitez. Ce n’est pas rien, n’est-ce pas ? Pourtant, même les boutiques officielles attirent peu l’attention sur ce point.

Par exemple, dans la boutique officielle Chrome Web Store, la catégorie Pratiques en matière de confidentialité de la célèbre extension Google Traduction indique que l’outil recueille les informations relatives à la localisation, à l’activité de l’utilisateur et au contenu du site Web. En revanche, rien n’indique que l’extension doit avoir accès à toutes les données de tous les sites afin de pouvoir fonctionner. L’utilisateur ne le découvre qu’au moment où il installe l’extension.

L’extension Google Traduction vous demande de l’autoriser à  » Lire et modifier toutes vos données sur tous les sites  » que vous consultez.

Beaucoup d’utilisateurs, sinon la plupart, ne prennent pas le temps de lire ce message et clique automatiquement sur Ajouter à Chrome pour pouvoir utiliser le plug-in. Tout cette situation offre aux cybercriminels l’opportunité de distribuer des adwares ou des programmes malveillants qui se font passer pour des extensions inoffensives.

Quant aux extensions d’un adware, le droit de modifier le contenu affiché permet l’affichage de publicités sur les sites que vous consultez. Dans ce cas, les créateurs des extensions gagnent de l’argent grâce aux utilisateurs qui cliquent sur les liens affiliés traqués qui ouvrent les sites des annonceurs. Afin d’offrir un contenu publicitaire mieux ciblé, l’extension peut aussi analyser vos recherches et d’autres données.

Les choses sont encore pires lorsqu’il s’agit d’extensions malveillantes. L’accès au contenu de tous les sites visités permet aux cybercriminels de voler les informations de vos cartes bancaires, des cookies et d’autres informations sensibles. Analysons quelques exemples.

Des outils véreux pour les fichiers Office

Ces dernières années, les cybercriminels ont activement distribué des extensions malveillantes adware WebSearch. Les extensions de ce groupe se présentent généralement comme des outils pour les fichiers Office, par exemple pour convertir un fichier Word en PDF.

Certains d’entre eux remplissent même leur fonction. Puis, une fois installés, ils remplacent l’habituelle page d’accueil du navigateur par un mini-site avec une barre de recherche et des liens affiliés traqués qui ouvrent des ressources tierces, comme AliExpress ou Farfetch.

Page d’accueil du navigateur après avoir téléchargé une des extensions du groupe WebSearch

Une fois installée, l’extension modifie également le moteur de recherche par défaut et sélectionne search.myway. Cela permet aux cybercriminels d’enregistrer et d’analyser les recherches faites par l’utilisateur et de lui proposer plus de liens pertinents selon ses intérêts.

De nos jours, les extensions WebSearch ne sont plus disponibles dans la boutique officielle de Chrome, mais elles peuvent toujours être téléchargées à partir de ressources tierces.

L’ajout d’un adware qui va vous embêter

Les membres de DealPly, un autre groupe connu d’extensions d’adware, arrivent généralement à se faufiler dans les ordinateurs des utilisateurs grâce au téléchargement de contenus piratés à partir de sites douteux. Ils fonctionnent à peu près de la même manière que les plug-ins WebSearch.

Les extensions DealPly remplacent la page d’accueil du navigateur et affichent un mini-site avec des liens associés qui redirigent l’utilisateur vers de célèbres plateformes numériques. Tout comme les extensions WebSearch, ces extensions modifient le moteur de recherche par défaut et analysent les recherches faites par l’utilisateur afin de créer des publicités plus personnalisées.

Page d’accueil du navigateur après avoir téléchargé une des extensions du groupe DealPly

De plus, il est extrêmement difficile de se débarrasser des membres du groupe DealPly. Même si l’utilisateur supprime l’extension de l’adware, il se réinstalle sur le dispositif chaque fois que l’utilisateur ouvre le navigateur.

AddScript installe des cookies indésirables

Les extensions du groupe AddScript se présentent souvent comme des outils qui permettent de télécharger de la musique ou des vidéos des réseaux sociaux, ou comme des gestionnaires de serveurs proxy. Pourtant, en plus de cette fonctionnalité, ces extensions infectent l’appareil de la victime grâce à un code malveillant. Les cybercriminels se servent alors de ce code pour visionner les vidéos en arrière-plan sans que l’utilisateur ne le remarque, et gagne de l’argent en augmentant le nombre de vues.

Le téléchargement de cookies sur l’appareil de la victime est une autre source de revenus pour les cybercriminels. De façon générale, les cookies sont conservés sur l’appareil de l’utilisateur lorsque ce dernier consulte un site et peuvent être utilisés comme marqueur numérique. Dans une situation normale, les sites associés promettent à l’utilisateur qu’il sera redirigé vers un site légitime. Ils l’attirent ainsi sur leur site qui, là encore, propose généralement un contenu intéressant et pratique. Le cookie est conservé dans l’ordinateur de l’utilisateur puis envoyé au site cible avec un lien. En utilisant ce cookie, le site sait d’où vient le nouvel utilisateur et paie une commission à l’associé. Parfois pour la redirection, d’autres fois il s’agit d’un pourcentage sur les achats effectués, ou encore de la réalisation d’une action concrète, comme la création d’un compte.

Les opérateurs du groupe AddScript utilisent une extension malveillante pour profiter de ce système. Au lieu d’envoyer les visiteurs du vrai site vers las associés, ils téléchargent plusieurs cookies sur l’appareil infecté. Ces cookies sont des marqueurs pour le programme associé des escrocs, et les opérateurs AddScript reçoivent une commission. En réalité, ils n’attirent pas de nouveaux clients, et l’activité de leurs « associés » consiste à infecter les ordinateurs avec ces extensions malveillantes.

FB Stealer, un voleur de cookies

FB Stealer, un autre groupe d’extensions malveillantes, fonctionne différemment. Contrairement à AddScript, les membres de ce groupe ne téléchargent aucun « extra » sur l’appareil mais volent les cookies importants. Voici son fonctionnement.

L’extension FB Stealer se faufile dans les appareils des utilisateurs avec le cheval de Troie NullMixer, que les victimes attrapent généralement en essayant de télécharger la version piratée d’un logiciel. Une fois installé, le cheval de Troie modifie le fichier utilisé pour conserver les paramètres du navigateur Chrome, dont les informations relatives aux extensions.

Ensuite, une fois l’extension activée, FB Stealer se fait passer pour l’extension Google Traduction pour que les utilisateurs ne se méfient pas. L’extension est très convaincante. Le seul inconvénient que les cybercriminels rencontrent est que le navigateur avertit qu’il n’y a aucune information sur cette extension dans la boutique officielle.

Le navigateur avertit que la boutique officielle ne possède aucun renseignement sur cette extension

Les membres de ce groupe remplacent le moteur de recherche par défaut du navigateur, mais ce n’est pas la chose la plus dangereuse que cette extension peut faire. Le principal objectif de FB Stealer est de voler les cookies de session des utilisateurs du réseau social le plus grand au monde, d’où son nom. Ce sont les cookies qui vous évitent de devoir saisir vos identifiants à chaque fois que vous ouvrez le site, et ils permettent aussi aux cybercriminels d’entrer sans avoir besoin du mot de passe. Après avoir piraté le compte de cette façon, ils peuvent, par exemple, envoyer un message aux amis et aux proches de la victime et leur demander de l’argent.

Comment vous protéger

Les extensions de navigateur sont des outils utiles, mais il convient de les utiliser prudemment et de ne pas oublier qu’elles ne sont pas aussi inoffensives qu’il n’y paraît. Ainsi, nous vous conseillons d’adopter les mesures de sécurité suivantes :

• Ne téléchargez les extensions qu’à partir de sources officielles, même si ce n’est pas un gage de sécurité complète. Les extensions malveillantes arrivent parfois à se faufiler dans les boutiques officielles. Ces plateformes prennent généralement la sécurité des utilisateurs très au sérieux et arrivent à supprimer les extensions malveillantes.
• N’installez pas trop d’extensions et vérifiez régulièrement la liste. Si vous constatez qu’il y a une extension que vous n’avez pas installée vous-même, il y a un danger.
• Installez une solution de sécurité de confiance.