Au cours des dernières semaines, plusieurs extensions malveillantes pour Google Chrome ont été aplaties à la surface qui ont été personnifiées par des outils de productivité orientés vers les plateformes de ressources humaines et ERP, tels que Workday, NetSuite ou SuccessFactors. Les chercheurs en sécurité des sockets ont identifié cinq suppléments qui, bien que promus comme des services publics pour faciliter l'accès à des outils premium, cachent des capacités conçues pour voler des séances et bloquent toute tentative d'intervention par les équipes de sécurité.
Les extensions identifiées incluent des noms tels que DataByCloud Access, DataByCloud 1, DataByCloud 2, Tool Access 11 et Software Access, avec plusieurs versions publiées sous un ou deux éditeurs différents. Certains sont venus pour accumuler plusieurs centaines ou des milliers d'installations avant que Google a retiré la plupart d'entre eux du magasin officiel; cependant, certains installateurs ont persisté dans des dépôts tiers, ce qui augmente le risque que les utilisateurs et les entreprises sans contrôle logiciel suffisant finissent par les exécuter. Le rapport technique de Socket décrit en détail comment ils fonctionnent et pourquoi ils sont particulièrement dangereux: Analyse des chaussettes.
La technique centrale utilisant ces extensions est l'exploitation des cookies d'authentification : ils collectent des cookies de session provenant de domaines spécifiques liés aux services d'entreprise et les envoient régulièrement aux serveurs contrôlés par les attaquants. Dans certains cas, cela est complété par la capacité inverse: recevoir les cookies d'un serveur distant et les injecter dans le navigateur de l'agresseur pour prendre directement en charge la session de la victime. Ce mécanisme « d'injection » permet à l'agresseur de travailler avec la même identité que la personne touchée sans avoir à connaître son mot de passe, qui documente Socket comme une méthode efficace de kidnapping de compte.
Mais la menace ne demeure pas dans le vol passif des lettres de créances. Plusieurs de ces suppléments manipulent le Modèle d'objet de document (DOM) de pages administratives critiques afin d'empêcher les équipes de sécurité d'accéder aux options de gestion de compte, telles que les changements de mot de passe, le contrôle de session, les paramètres de mandataire de sécurité ou les listes IP autorisées. En supprimant ou en redirigeant le contenu des pages administratives, ces extensions peuvent neutraliser les contrôles qui permettraient de révoquer les sessions compromises ou fermer les vecteurs d'accès indésirables. Le résultat est une plus grande fenêtre d'exposition, dans laquelle les attaquants non seulement volent l'accès, mais aussi rendent difficile de remédier au même environnement qui devrait le protéger.
Les chercheurs ont également observé des techniques pour compliquer l'inspection du code par les administrateurs: certains suppléments librairies intégrées qui tentent de désactiver les outils de développeur de navigateur, dans le but de cacher son fonctionnement et rendre l'analyse manuelle difficile. Le projet open source utilisé dans ce cas, connu sous le nom DisableDevtool, est accessible au public dans GitHub et explique comment cette couche d'inspection est manipulée: Désactiver Devtool dans GitHub.
Un détail clé qui indique une opération coordonnée est l'émergence, dans toutes les extensions, de la même liste d'identificateurs d'autres extensions de sécurité - outils conçus précisément pour manipuler ou vérifier les cookies, les en-têtes ou les sessions. Cette liste agit comme un inventaire qui permet aux attaquants de détecter si le navigateur de la victime a des utilitaires qui pourraient interférer avec leurs actions, et probablement adapter leur comportement pour éviter d'être détecté. La répétition de ce schéma suggère soit que le même acteur a publié les différentes extensions sous différents noms, soit qu'il y a une boîte à outils commune entre les mains de plusieurs opérateurs.
Parmi les différences techniques observées, l'extension appelée Software Access se distingue par sa sophistication: en plus de voler des cookies, vous pouvez recevoir des cookies de votre serveur de commande et de contrôle, en supprimant ceux existants et en écrivant les nouveaux dans le navigateur cible en utilisant l'API cookies Chrome. L'agresseur installe alors le statut d'authentification de la victime dans son propre navigateur et peut fonctionner comme s'il était cette personne. En outre, il intègre des protections dans les champs de saisie des mots de passe pour rendre difficile l'examen du manuel.
Alors que Google a supprimé la plupart de ces ajouts du Chrome Web Store après les alertes, la présence sur des sites externes pose des risques restants. Pour ceux qui utilisent des navigateurs d'affaires ou d'accéder à des services critiques à partir du navigateur, cet épisode est un rappel que les extensions, contrairement aux applications natives, ont un niveau d'accès à l'activité Web qui les rend très précieux points d'attaque. Google et d'autres acteurs de la sécurité insistent sur la nécessité de gérer et d'auditer les extensions installées depuis des années; la documentation officielle de Google sur la façon d'examiner et de supprimer les extensions peut servir de guide de base pour les utilisateurs: Comment supprimer les extensions dans Chrome.
Quelles mesures concrètes devraient être prises dès maintenant? Tout d'abord, retirez immédiatement toute extension suspecte ou l'une de celles figurant dans les rapports. Il est alors recommandé de forcer la clôture des sessions dans les services essentiels et de modifier les mots de passe, surtout si le navigateur a été utilisé pour accéder aux comptes d'affaires. L'activation de l'authentification multifactorielle (2FA) est un frein important, mais non infaillible, si l'attaquant est en mesure d'injecter des cookies valides; il est donc prudent de revoir les enregistrements d'accès des plateformes utilisées - de nombreux services montrent des sessions actives récentes et des adresses IP - et de révoquer celles que nous ne reconnaissons pas. Dans les environnements ministériels, la réponse devrait inclure l'examen des appareils, la rotation des références des comptes de service et le blocage de l'application de l'administration centrale, si possible.
Cette affaire montre que la sécurité du navigateur est maintenant un élément essentiel de la cyberdéfense d'entreprise. Il ne s'agit pas seulement d'éviter les extensions malveillantes, mais de mettre en place des contrôles pour vérifier et limiter les suppléments qui peuvent être installés, en utilisant des politiques centralisées de gestion des extensions et en maintenant un inventaire logiciel fiable. Pour les professionnels de la TI et les responsables de la sécurité, les guides et recommandations des fournisseurs et des centres d'intervention en cas d'incident sont utiles pour répondre à ces engagements. Socket propose une analyse technique et des échantillons qui permettent d'approfondir les techniques observées: lire le rapport Socket.
En bref, les extensions de navigateur sont très pratiques, mais elles peuvent également être des armes puissantes dans de mauvaises mains. Maintenir une hygiène numérique stricte, limiter l'utilisation des suppléments à ceux strictement nécessaires et avoir des contrôles de sécurité sur les postes de travail et les navigateurs d'entreprise sont des actions qui réduisent considérablement le risque qu'un simple clic se retrouve dans une intrusion plus profonde.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
Clé jaune L'échec BitLocker qui pourrait permettre à un attaquant de déverrouiller votre unité avec seulement un accès physique
Microsoft a publié une atténuation pour une vulnérabilité d'omission de sécurité BitLocker Clé jaune (CVE-2026-45585) après que son test de concept ait été divulgué publiquement...