Attention aux extensions vérolées pour navigateur

Attention aux extensions vérolées pour navigateur

Prudence lorsque vous téléchargez des extensions de navigateurs Web ! Certaines, d'apparence innocente, peuvent contenir du code malveillant qui peut afficher de la publicité intempestive ou siphonner vos données personnelles.

Les extensions de navigateurs Web – comme Google Chrome, Mozilla Firefox, Microsoft Edge ou Safari – sont vraiment très pratiques. Elles offrent des fonctions utiles, comme bloquer de la publicité, conserver des listes des tâches, vérifier l'orthographe et grammaire, ou encore convertir des PDF , entre autres choses. Des moyens d'être encore plus productifs et efficaces sur le Web, ce qui les rend si populaires. Les plug-ins les plus appréciés peuvent atteindre plus de 10 millions d'utilisateurs ! Toutefois, attention, car même si elles se trouvent dans les magasins officiels – comme le Chrome Web Store –, certaines peuvent vous faire courir des risques. En 2020, Google a dû en supprimer 106, utilisées pour siphonner les données personnelles des utilisateurs, comme les cookies, leurs mots de passe, leurs identifiants bancaires, et ont même pris des captures d'écran. Au total, elles comptent 32 millions de téléchargements – et donc autant de victimes, particuliers comme entreprises.

Kaspersky, un éditeur d'antivirus, a révélé dans une enquête que, rien que sur son parc de clients, l'entreprise a bloqué 6 millions de téléchargements d'extensions malveillantes depuis le début 2020. Mais comment ces extensions opèrent-elles ? La plupart – y compris celles qui ne sont pas vérolées – demandent l'autorisation de "lire toutes les données sur tous les sites Web", ce qui leur permet de collecter nombre de données à partir des pages Web que vous visitez. Les développeurs peuvent ensuite transmettre ces données à des tiers ou les vendre à des annonceurs. Des applications "sûres" peuvent également devenir malveillantes après leur installation, puisque leurs développeurs peuvent publier des mises à jour sans demander aucune action de votre part. Kaspersky a identifié quatre grandes familles d'extensions malveillantes, qui sont pour deux tiers de type "publiciels" et pour un tiers de type "malware".

© Frank Peters

Des extensions qui diffusent des publicités envahissantes

La première famille d'extensions vérolées de type publiciel est WebSearch – il s'agit de la plus répandue. À son installation, elle va remplacer le moteur de recherche que vous utilisez par  par un autre – et tout le monde ne sait pas toujours comment faire pour en changer de nouveau (voir notre fiche pratique pour y remédier). Selon les recherches effectuées, le nouveau moteur va afficher ses propres liens publicitaires – par exemple, une barre latérale s'incruste sur l'écran pour proposer tout un tas de publicités. Plus vous suivez ces liens, plus les développeurs d'extensions gagnent d'argent. Les extensions suivantes utilisent cette technique – elles ont été retirées des stores, mais sont toujours présentes sur les appareils de ceux qui les ont téléchargées et trouvables via un moteur de recherche :

  • EasyPDFCombine
  • PDF Viewer & Converter by FromDocToPDF
  • OnlineMapFinder
  • EasyDocMerge.
Liste de certains moteurs de recherche pour Firefox © CCM

La deuxième famille de type publiciel est DealPly. La plupart du temps, ces extensions ne sont pas téléchargées directement par l'utilisateur, mais par un malware, lui-même installé sur un logiciel craqué. Là encore, le moteur de recherche est remplacé par un autre, et vous est transporté vers des sites sponsorisés sans que vous ne le souhaitiez. La génération de ces offres non désirées va gêner votre navigation sur Internet en vous inondant de pub lorsque vous naviguerez sur des sites marchands. Se débarrasser de ce genre d'extension est assez compliqué car, une fois supprimée, elle réapparaîtra automatiquement au prochain lancement du navigateur. Parmi les extensions de cette famille se trouvent Internal Chromium Extension et Search Manager.

Des extensions qui embarquent des malwares

La troisième famille est de type malware et se nomme AddScript. Le plus souvent, ce type d'extensions propose des fonctions véritablement utiles – des outils pour télécharger de la musique et des vidéos à partir de réseaux sociaux, ou encore pour télécharger des gestionnaires de proxy. Sauf qu'en parallèle, elles mènent des actions malveillantes. Le malware contient du code obfusqué – donc caché, illisible – qui réalise discrètement des actions intrusives sans que vous ne vous en aperceviez – lire des vidéo en arrière-plan ou déposer de faux cookies dans le répertoire du navigateur par exemple. Il va ainsi générer de fausses vues vidéos ou de faire croire que vous vous êtes déjà rendu sur certaines pages. C'est le cas pour les extensions suivantes :

  • Y2Mate  Video Downloader
  • Helper (an easy way to find best prices)
  • SaveFrom.net helper
  • friGate3 Proxy helper.

La quatrième famille, FB Stealer, est aussi de type malware – et est sans doute la plus dangereuse. Comme pour DealPly, ces extensions sont contiennent des malwares installés dans des logiciels craqués. Là encore, il y a un changement du moteur de recherche. Cependant, il va en profiter pour voler les cookies de votre session Facebook, se connecter à votre place et changer le mot de passe. "Une fois à l'intérieur du compte, les attaquants peuvent demander de l'argent aux amis de la victime, en essayant d'en obtenir le plus possible avant que l'utilisateur ne retrouve l'accès au compte", explique Kaspersky. Pendant ce temps, l'extension va imiter des fonctions inoffensives, comme Google Translate.

Comment se protéger des extensions vérolées

Plusieurs astuces peuvent vous permettre de repérer les extensions vérolées. Tout d'abord, il faut toujours télécharger les plug-ins via des boutiques officielles, comme le Google Web Store, car elles effectuent une première vérification et suppriment régulièrement les logiciels infectés. Une fois dans la boutique, il faut vérifier  la réputation et la fiabilité du développeur  ainsi que les autorisations demandées par l'extension. En effet, si vous voyez qu'un module complémentaire demande beaucoup plus d'autorisations qu'il n'en a théoriquement besoin, vous avez toutes les raisons de vous méfier. Par exemple, une calculatrice de navigateur standard ne nécessite aucun accès à votre géolocalisation ou à votre historique de navigation. Enfin, révisez périodiquement vos extensions installées et désinstallez les extensions que vous n'utilisez plus ou que vous ne reconnaissez pas.

Autour du même sujet

Guide confidentialité