Extensions Chrome vérolées : 32 modules dangereux à supprimer d'urgence
Attention aux extensions que vous ajoutez dans votre navigateur Web ! Des chercheurs en sécurité ont découvert 32 modules complémentaires pour Chrome qui détournent les résultats de recherche et diffusent des publicités.
Les extensions pour navigateurs Web – comme Google Chrome, Mozilla Firefox, Microsoft Edge ou Safari – sont vraiment très pratiques. Ces modules complémentaires – aussi appelés plug-in – apportent en effet des des fonctions utiles, qui ne sont pas intégrées par défaut dans ces logiciels, comme le blocage de la publicité, la conversion de PDF, la conservation des listes des tâches, ou encore la vérification de l'orthographe et de la grammaire. Toutefois, prudence au moment d'en télécharger, même sur des magasins officiels, car certaines contiennent du code malveillant ! C'est le cas de 32 extensions véreuses, repérées récemment par des chercheurs en sécurité d'Avast sur le Chrome Web Store. Et il ne s'agit pas d'extensions exotiques : comptabilisant près de 75 millions de téléchargements, elles rendent bien les services d'qu'elles promettent. Sauf qu'en plus, et de façon particulièrement sournoise, elles modifient les résultats de recherche pour afficher des liens sponsorisés et des résultats payants, diffusent des spams ou des publicités indésirables, et, parfois, redirigent leurs utilisateurs vers des sites dangereux !.
Extensions Chrome : des redirections et des détournements de résultats de recherche
Wladimir Palant, un chercheur en cybersécurité, a publié mi-mai un article dans lequel il explique avoir analysé l'extension PDF Toolbox, disponible sur le Chrome Web Store et comptant 2 millions de téléchargements. Il a découvert qu'elle contenait un code malveillant qui permettait au domaine "serasearchtop[.]com" d'injecter du code JavaScript arbitraire dans tout site Web visité par l'utilisateur. De quoi entrainer des possibilités d'abus, allant de l'insertion de publicités au vol d'informations sensibles. Si Wladimir Palant n'a observé aucune activité malveillante au début, il a cependant remarqué que le code était activé 24 heures après l'installation de l'extension, un comportement que l'on trouve généralement dans des logiciels malveillants.
Comme on l'apprend dans un nouvel article, Wladimir Palant a poussé son enquête plus loin et a découvert le même code ainsi que deux variantes, présents dans 18 autres extensions Chrome (Autoskip for YouTube, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper et Maxi Refresher.), totalisant 55 millions de téléchargements. Là encore, le chercheur n'a pas observé de comportement malveillant, mais de nombreux rapports et commentaires d'utilisateurs sur le Web Store indiquent qu'elles effectuaient des redirections et des détournements de résultats de recherche. Voici la liste des extensions concernées :
- Autoskip for Youtube
- Soundboost
- Crystal Ad block
- Brisk VPN
- Clipboard Helper
- Maxi Refresher
- Quick Translation
- Easyview Reader view
- PDF toolbox
- Epsilon Ad blocker
- Craft Cursors
- Alfablocker ad blocker
- Zoom Plus
- Base Image Downloader
- Clickish fun cursors
- Cursor-A custom cursor
- Amazing Dark Mode
- Maximum Color Changer for Youtube
- Awesome Auto Refresh
- Venus Adblock
- Adblock Dragon
- Readl Reader mode
- Volume Frenzy
- Image download center
- Font Customizer
- Easy Undo Closed Tabs
- Screence screen recorder
- OneCleaner
- Repeat button
- Leap Video Downloader
- Tap Image Downloader
- Qspeed Video Speed Controller
- HyperVolume
- Light picture-in-picture
En plus des 32 extensions malveillantes repérées par Wladimir Palant, Avast a publié une liste de quelque 82 extensions modules complémentaires vérolés qu'il convient de désinstaller d'urgence, en indiquant leurs identifiants uniques pour éviter toute confusioon dans les noms. Bien évidemment, Google a supprimé du Chrome Web Store les extensions signalées, comme le rapporte The Bleeping Computer. Mais cela ne suffit pas : il faut aussi et surtout les désinstaller des appareils sur lesquels elles ont été téléchargées ! Si vous en avez installées, supprimez-les immédiatement de votre appareil (voir notre fiche pratique).
Code malveillant : se protéger des extensions de navigateur vérolées
Ce n'est pas la première fois – et sans doute pas la dernière ! – que Google doit retirer des extensions vérolées de son magasin officiel. Malgré les efforts du géant du Web, les hackers trouvent sans cesse de nouvelles techniques plus ingénieuses les unes que les autres. C'est pourquoi il faut toujours rester vigilant au moment d'installer quoi que ce soit. Plusieurs astuces peuvent toutefois vous permettre de repérer les extensions vérolées.
Tout d'abord, téléchargez toujours les plug-in via des boutiques officielles, comme le Google Web Store, car elles effectuent une première vérification et suppriment régulièrement les logiciels infectés. Une fois dans la boutique, vérifiez la réputation et la fiabilité du développeur, et jetez un œil sur les avis des utilisateurs afin de voir s'ils rapportent des activités suspectes. Attention également aux autorisations demandées par l'extension. En effet, si vous voyez qu'un module complémentaire demande beaucoup plus d'autorisations qu'il n'en a théoriquement besoin, vous avez toutes les raisons de vous méfier. Enfin, révisez périodiquement vos extensions installées et désinstallez les extensions que vous n'utilisez plus ou que vous ne reconnaissez pas.