La Chine est une nouvelle fois au cœur d’une vaste opération d’espionnage numérique, et cette fois, ce sont directement nos navigateurs qui servent de porte d’entrée. Des chercheurs en cybersécurité ont identifié 17 extensions malveillantes qui se sont infiltrées sur Chrome, Edge et Firefox. Leur objectif est clair : surveiller votre navigation, siphonner des données et espionner vos activités en ligne. Si l’une d’elles est installée chez vous, il faut la supprimer immédiatement, car la désactivation ne suffit pas toujours à éliminer le risque.
Une campagne chinoise structurée, active depuis plusieurs années
Les chercheurs de LayerX relient ces extensions à une opération de grande ampleur baptisée GhostPoster, révélée il y a quelques semaines par Koi Security. Les analyses montrent une campagne méthodique : elle aurait commencé sur Microsoft Edge avant de s’étendre à Firefox puis Chrome, en s’appuyant sur une infrastructure commune et des techniques identiques. Derrière, les experts décrivent un écosystème criminel chinois organisé, capable d’opérer sur le long terme, avec des moyens et une discipline opérationnelle qui dépassent largement la simple fraude opportuniste.
Comment ces extensions passent sous le radar
Ce qui rend l’affaire particulièrement inquiétante, c’est la manière dont ces extensions réussissent à paraître « propres » pendant suffisamment longtemps pour inspirer confiance. Une fois installées, elles ne déclenchent pas immédiatement leurs fonctions malveillantes. Elles peuvent patienter de 48 heures à plusieurs jours, le temps de franchir les contrôles automatiques et de réduire les soupçons. Ce délai est un classique des campagnes sophistiquées : l’utilisateur ne remarque rien, la plateforme non plus, et l’extension a le temps de s’installer durablement.
Le camouflage le plus sournois : du code caché dans des images
Pour masquer leurs intentions, les attaquants ont recours à une technique très efficace et peu connue du grand public : la stéganographie. Concrètement, le code espion n’est pas visible dans l’extension sous une forme « classique ». Il est dissimulé dans des images apparemment anodines, comme des icônes ou de simples visuels. Ensuite, un script intégré à l’extension extrait ces données cachées dans l’image pour reconstruire et exécuter le code malveillant.
Cette approche complique la détection, car une image semble inoffensive pour de nombreux contrôles automatisés, alors qu’elle sert ici de conteneur à une charge utile.
Ce que les extensions cherchent à voler (et pourquoi c’est dangereux)
Une fois actives, ces extensions peuvent surveiller les sites visités, injecter des scripts dans les pages web et collecter des informations sensibles. L’enjeu dépasse le simple « profil publicitaire ». Dans ce type de campagne, les données visées incluent souvent l’historique de navigation, certains identifiants, mais aussi des éléments de session permettant de comprendre comment vous vous connectez à vos services en ligne.
C’est précisément pour cette raison qu’il est fortement déconseillé de conserver ses mots de passe uniquement dans le navigateur quand on multiplie les extensions. Un gestionnaire dédié et chiffré, comme Proton Pass, limite fortement la casse : vos identifiants sont stockés dans un coffre-fort séparé, protégé, et vous réduisez le risque qu’un module espion profite de votre navigation pour récupérer des accès.
La liste des 17 extensions à supprimer immédiatement
- Page Screenshot Clipper
- Full Page Screenshot
- Convert Everything
- Translate Selected Text with Google
- Youtube Download
- RSS Feed
- Ads Block Ultimate
- AdBlocker
- Color Enhancer
- Floating Player – PiP Mode
- One Key Translate
- Cool Cursor
- Google Translate in Right Click
- Translate Selected Text with Right Click
- Amazon Price History
- Save Image to Pinterest on Right Click
- Instagram Downloader
Retirées des stores… mais encore actives chez vous
Mozilla et Microsoft ont retiré les extensions identifiées de leurs boutiques. Le problème, c’est qu’une extension déjà installée reste active tant qu’elle n’est pas supprimée manuellement. Autrement dit, même si la plateforme « nettoie » sa boutique, cela ne désinfecte pas votre navigateur.
Dans ce contexte, une règle simple s’impose : faites régulièrement l’inventaire de vos extensions et supprimez tout ce qui n’est pas indispensable ou dont l’éditeur n’est pas clairement identifiable.