Cette semaine, les chercheurs en sécurité ont re-éclairé les alarmes sur un risque que de nombreux utilisateurs sous-estiment : les extensions de navigateur. Ce qui peut sembler être un utilitaire inoffensif - un bloqueur de publicité, un outil de productivité ou un complément pour améliorer l'expérience avec ChatGPT - dans plusieurs cas s'est avéré être une porte arrière pour voler des données, manipuler des liens d'affiliation et même des jetons d'authentification exfilter.
Le cas le plus frappant est celui d'une extension qui a été annoncée comme un bloqueur de publicité pour Amazon et que, en plus de supprimer le contenu sponsorisé, il a modifié silencieusement tous les liens de produit pour insérer l'étiquette d'affiliation du développeur. Socket a publié une analyse détaillée soulignant que l'extension "Amazon Ads Blocker" (ID: pnpchphmplpdimlknjoiopmfphellj) a été soulevée par un acteur qui est présenté comme "10Xprofit" et qui injecte le paramètre d'affiliation 10xbénéfice-20 dans les pages Amazon, en remplaçant ou en ajoutant ses propres étiquettes sans interaction utilisateur ( Rapport sur les chaussettes).
Ce complément ne semble pas être un cas isolé. La même analyse relie à un ensemble plus large de dizaines d'extensions axées sur le commerce électronique qui fonctionnent de la même manière, affectant des magasins comme AliExpress, Best Buy, Shein, Shopify et Walmart. Dans certains de ces suppléments, les étiquettes malveillantes qui sont injectées sont différentes - par exemple, les chaînes associées à AliExpress comme _ c3pFXV63- et dans d'autres cas, les outils ajoutent de faux compteurs "d'offre limitée" pour appuyer sur l'achat pour saisir des commissions.
Ce comportement non seulement vole les revenus des créateurs de contenu et des affiliés légitimes, mais aussi entre dans les politiques du magasin d'extension: Google exige que les extensions utilisant des liens d'affiliation le déclarent avec précision, demander l'action de l'utilisateur avant d'injecter des codes et ne remplacent pas les étiquettes de tiers. La pratique détectée, selon les chercheurs, génère un consentement trompeur parce que la page de supplément décrit une fonction différente de celle qu'elle accomplit réellement ( Chrome Web Politique d'affiliation du magasin).
En plus de la fraude des membres, d'autres équipes de recherche ont exposé des extensions conçues pour voler des informations plus sensibles. Symantec, propriété de Broadcom, a rapporté des suppléments qui ont donné des permissions dangereuses à des domaines externes, recueilli des cookies, injecté des publicités, changé les moteurs de recherche pour d'autres contrôlés par les attaquants et même dépendait de vulnérabilités connues pour exécuter le code à distance. Parmi les menaces identifiées figurent les extensions qui demandent un accès à distance au presse-papiers ou rediriger les recherches afin de saisir les termes introduits par les utilisateurs.
Parallèlement, une autre famille d'extensions a exploité la confiance dans les marques d'intelligence artificielle pour attaquer les utilisateurs de ChatGPT. Calque X chercheurs ont décrit une campagne de dix suppléments et demi qui injectent des scripts dans chatgpt [.] com afin de capturer des jetons de session OpenAI. Ces jetons permettent à un attaquant d'agir avec les mêmes permissions que sa victime dans le compte ChatGPT, y compris l'accès aux histoires de conversation, entrées et données sensibles partagées dans les conversations ( Calque Rapport X).
La tactique tient à sa simplicité et à son efficacité : Plusieurs de ces extensions sont présentées comme des utilitaires pour améliorer l'expérience avec les modèles de langue (gestionnaires rapides, téléchargements de voix, organisateurs de conversation) et demander la permission d'exécuter du code sur les pages OpenAI. Avec cet accès, ils peuvent intercepter et exfiltrer des jetons d'authentification vers des serveurs distants contrôlés par les attaquants.
Ce modèle d'abus a été renforcé par l'émergence de kits de création de logiciels malveillants commerciaux : des outils qui permettent aux acteurs peu avertis de générer des extensions malveillantes et de gérer les victimes à partir d'un panneau de contrôle, y compris la capacité de déployer des pages d'hameçonnage dans des iframes qui semblent appartenir à des sites légitimes. Les clients de ces services supposent même d'offrir de l'aide pour surmonter les filtres de publication, ce qui augmente le risque parce qu'il facilite l'arrivée de menaces pour les magasins officiels.
Les conclusions générales mises en évidence par les équipes de sécurité sont claires : le navigateur est devenu aussi précieux que le système d'exploitation lui-même. Les extensions nécessitant des niveaux d'accès élevés sont transformées en vecteurs privilégiés pour exfilter des données ou manipuler l'expérience web sans recourir à des exploits conventionnels, quelque chose de particulièrement dangereux dans les environnements de travail qui dépendent de SaaS et des outils cloud.
Que peut donc faire un utilisateur ou un agent de sécurité pour se protéger? La base et efficace commence par une gestion attentive de l'extension : examiner les autorisations avant d'installer, éviter les outils qui demandent l'accès à des domaines complets ou la capacité d'exécuter des scripts n'importe où, et se méfier des suppléments qui promettent des fonctions « magiques » sans une réputation vérifiable. Google publie des guides et des normes pour les développeurs et les utilisateurs sur l'utilisation des filiales et la conception des extensions; il est recommandé de les connaître pour reconnaître la non-conformité ( Politiques du Web Store).
Si vous soupçonnez qu'une extension a compromis votre compte ChatGPT, les étapes urgentes comprennent la fermeture d'OpenAI depuis tous les appareils, la rotation du mot de passe et l'activation de l'authentification de deux facteurs. Il est également approprié de supprimer l'extension et tout autre qui est suspect de la page de gestion de l'extension du navigateur (par exemple, Comment supprimer les extensions dans Chrome), nettoyer les cookies et les jetons locaux et examiner l'accès autorisé dans les applications connectées.
La réponse des organisations n'est pas moins importante : les entreprises devraient appliquer des mesures de contrôle ou de blocage pour les extensions dans les environnements d'entreprise, et encourager les équipes informatiques à centraliser l'installation et l'audit des suppléments. Lorsque le navigateur est la passerelle vers les documents, les courriels et les services cloud, le risque d'une extension malveillante est multiplié.
Enfin, il faut se rappeler que la menace n'est pas nouvelle, mais plus accessible aux agresseurs. Les vulnérabilités historiques dans les plugins tiers restent exploitables si un complément en profite pour exécuter du code, comme c'était le cas avec une vieille défaillance dans un plugin de graphiques qui a été identifié comme CVE-2020-28707 et qui apparaît toujours dans les chaînes d'attaque quand il n'est pas géré correctement ( détail CVE-2020-28707).
En résumé: Les extensions peuvent améliorer jour après jour, mais elles peuvent également devenir des outils de fraude et d'espionnage. Vérifiez ce que vous avez installé, comparez les permissions avec de vraies fonctionnalités, supprimez ce dont vous n'avez pas besoin et, si vous travaillez dans une organisation, coordonnez les politiques pour contrôler ce qui peut être ajouté à vos navigateurs d'infrastructure. Les agresseurs continuent de professionnaliser leurs outils; la meilleure réponse reste une combinaison de prudence, d'éducation et de contrôles techniques.
Pour approfondir ces incidents, je recommande de lire l'analyse technique de Socket sur le détournement de liens d'affiliation ( Socket), rapport de LayerX sur le vol des jetons ChatGPT ( LayerX) et un article qui contextualise le phénomène des extensions trompeuses et des permis dangereux ( Sécurité.com).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...