Retour à tous les articles
Publié le · par Renaud Deraison

Quand c'est le magasin qui est la menace — 108 extensions Chrome malveillantes, un C2, 20 000 installations

Un seul opérateur a publié 108 extensions malveillantes sur le Chrome Web Store sous cinq éditeurs fictifs, cumulé environ 20 000 installations et les a toutes acheminées vers un unique serveur de commande et de contrôle. Le modèle de modération n'a rien vu. Voici pourquoi un navigateur axé sur la sécurité doit prendre une position plus dure.

Une extension de navigateur est un programme que vous installez et qui peut lire chaque page que vous visitez, lire chaque jeton que votre navigateur détient, et agir en votre nom. Le Chrome Web Store promet de vérifier ces programmes. En avril 2026, un seul opérateur en a publié 108, récolté environ 20 000 installations, et tout acheminé par un unique serveur. Le magasin ne l'a pas remarqué.

Le 14 avril, la société de sécurité applicative Socket a révélé une campagne coordonnée d'extensions malveillantes sur le Chrome Web Store. Le chercheur Kush Pandya a identifié 108 extensions publiées sous cinq fausses identités d'éditeur — Yana Project, GameGen, SideGames, Rodeo Games et InterAlt — pointant toutes vers un même serveur de commande et de contrôle (C2) à 144.126.135[.]238. Ensemble, ces extensions avaient été installées environ 20 000 fois. The Hacker News a confirmé les chiffres le même jour.

Ces extensions n'étaient pas une simple nuisance à URL cassée ou une bribe de fraude publicitaire greffée sur du vrai logiciel. C'était une boîte à outils :

  • 54 extensions volaient l'identité Google de l'utilisateur connecté en récupérant le jeton Bearer OAuth2 — la courte chaîne que Chrome envoie pour vous identifier auprès des services Google — à la seconde où l'onglet se chargeait.
  • 45 extensions embarquaient ce que Socket qualifie de porte dérobée universelle : elles ouvraient des URL arbitraires au démarrage du navigateur, d'après des commandes récupérées sur le C2. C'est une primitive pour la fraude au clic, les téléchargements furtifs ou la navigation silencieuse vers une page d'exploitation.
  • D'autres injectaient du HTML contrôlé par l'attaquant dans de vrais sites, supprimaient les en-têtes de sécurité HTTP pour que le contenu injecté puisse effectivement s'exécuter, détournaient des sessions Telegram Web toutes les 15 secondes, faisaient transiter des requêtes de traduction par l'attaquant, ou enveloppaient les pages YouTube et TikTok dans des surcouches de paris.

Le code comportait des commentaires en russe dans les chemins d'authentification et de vol de session. Le chercheur note que l'identité de l'opérateur est inconnue ; l'infrastructure était hébergée sur un VPS Contabo, avec des sous-domaines ventilés par fonction (collecte d'identité, exécution de commandes, monétisation, détournement de session).

Au moment où l'affaire est sortie, aucune des 108 extensions n'avait été retirée du Web Store.

Ce qu'est réellement une extension, et pourquoi ce n'est pas juste une énième histoire de malware.

La plupart des gens installent des extensions de navigateur comme ils installent des polices : ils en trouvent une qui a l'air utile, cliquent sur le bouton bleu, et n'y pensent plus. La boîte de dialogue de « permissions » qui apparaît parfois est un vestige d'une époque plus ancienne et plus claire. Dans le modèle d'extensions actuel de Chrome, une très grande part des vraies extensions demandent quelque chose qui ressemble à ceci, et l'utilisateur n'a aucun moyen sérieux de dire non partiellement :

Extension« Cursor Tails »1 348 utilisateursChaque onglet ouvertlecture + modification de la pageCookies + stockagepour tout site visitéRequêtes réseauinspection + réécriture des en-têtesJetons OAuth Googlevotre identité connectéeDémarrage du navigateurcode exécuté à chaque lancementUn unique clic sur « Installer » accorde tout ce qui précède. Le navigateur ne redemande plus rien.
Ce qu'une extension de navigateur peut faire, en langage clair, une fois que l'utilisateur a cliqué sur Installer. Ce n'est pas un bug ni un abus — c'est le modèle. Les extensions sont des programmes qui vivent à l'intérieur de votre navigateur, et le travail du navigateur, c'est de les exécuter.

Les extensions se situent au-dessus de la politique de même origine qui isole les onglets les uns des autres. C'est précisément leur raison d'être : un bloqueur de publicité ne fonctionnerait pas s'il ne pouvait pas lire la publicité sur chaque site, et un gestionnaire de mots de passe ne fonctionnerait pas s'il ne pouvait pas surveiller chaque formulaire de connexion. Le navigateur, en toute logique, ne distingue pas à l'exécution entre « le bloqueur de pub qui lit la page pour masquer une bannière » et « l'extension malveillante qui lit la page pour voler votre jeton de session ». C'est la même capacité, accordée pour des raisons différentes.

Ce que les 108 extensions de Socket ont fait, ce n'est donc pas un astucieux contournement de la sécurité de Chrome. C'est le comportement normal et documenté de la plateforme d'extensions, pointé vers le serveur d'un opérateur plutôt que vers le bénéfice de l'utilisateur.

Cinq faux éditeurs, un serveur, 20 000 installations.

C'est la forme de la campagne qui importe. Un seul acteur, une poignée de comptes d'éditeur marionnettes, un catalogue bâti pour paraître superficiellement varié — jeux de machines à sous et de keno, « améliorateurs » de YouTube et TikTok, utilitaires de barre latérale Telegram, outils de traduction, décorations de curseur — tous renvoyant à la même IP. Pris individuellement, chacune de ces extensions ressemble à de la camelote de bas étage. Pris ensemble, ils forment une récolte industrielle.

CINQ FAUX ÉDITEURSYana ProjectGameGenSideGamesRodeo GamesInterAlt108 EXTENSIONS · 20 000 INSTALLATIONS54 dérobent l'OAuth Google · 45 ouvrent des URL au démarrage78 injectent du HTML attaquant · vol de session Telegram toutes les 15 sC2144.126.135.238Socket a repéré le motif. Le Web Store, non.
108 extensions, cinq noms d'éditeur, un seul serveur de commande et de contrôle. Le système de modération a approuvé chaque compte et chaque extension séparément. Aucune couche du processus actuel ne regarde le motif d'ensemble.

Cinq éditeurs ne sont pas la limite extérieure du motif : ils en sont la surface. En parallèle de la révélation de Socket, la société LayerX Security a publié une extension de ce qu'elle appelle la campagne GhostPoster, retraçant des extensions malveillantes apparentées sur Chrome, Firefox et Edge, avec des téléchargements cumulés se comptant en centaines de milliers et des origines remontant à 2020. La leçon à retenir n'est pas qu'un gang particulier s'est fait prendre. Elle est que le modèle des magasins d'extensions — l'utilisateur fait confiance au magasin, le magasin contrôle à la soumission, et le magasin fait ensuite surtout confiance à l'identité de l'éditeur — échoue discrètement, à grande échelle, depuis des années.

La réponse de Bromure : ne pas autoriser les extensions du tout.

Bromure est un navigateur axé sur la sécurité. Chaque onglet tourne à l'intérieur d'une VM Linux jetable (virtual machine — son propre ordinateur distinct, effacé à la fermeture de la fenêtre) sur votre Mac. Dans cette VM, nous installons Chromium avec une politique réduite. Deux lignes de cette politique comptent pour cette histoire :

  • chrome://extensions est bloqué.
  • chromewebstore.google.com est bloqué.

Il n'y a pas de flux « avertir l'utilisateur et le laisser poursuivre », pas de « paramètres avancés pour le permettre quand même », pas d'exception par mode développeur qu'une page de phishing pourrait vous faire activer. L'utilisateur ne peut pas atteindre le Web Store depuis une session Bromure, et même s'il avait déjà le fichier .crx sur disque, la page des extensions n'est pas joignable pour le charger. La surface d'attaque sur laquelle s'appuie la campagne GhostPoster n'existe pas ici.

Navigateur classiquechromewebstore.google.comFormula Rushpar Rodeo GamesInstallerTeleside Webpar GameGenInstallerKeno Pluspar SideGamesInstallerCursor Tailspar Yana ProjectInstallerUn clic par extension.Lecture/écriture totale sur chaque onglet ensuite.Mises à jour automatiques silencieuses.Bromurechromewebstore.google.comBLOQUÉPOLITIQUE DU NAVIGATEUR"URLBlocklist": ["chrome://extensions","chromewebstore.google.com","chrome.google.com/webstore"]Pas de page d'installation.Pas de magasin.
Même magasin, mêmes 108 extensions, mêmes 20 000 utilisateurs qui les auraient installées. Dans un navigateur classique, « Installer » est un bouton bleu. Dans Bromure, il n'y a pas de magasin à ouvrir.

C'est, pour être clair, un choix de conception délibéré, et non un oubli. La position de Bromure est que tout navigateur qui permet à l'utilisateur d'installer des extensions est structurellement vulnérable à des campagnes comme celle-ci. Pas « vulnérable si le magasin devient laxiste ». Structurellement vulnérable. La modération du magasin est la seule chose qui se tient entre l'utilisateur et un programme avec un accès étendu à toutes les pages, et « la modération du magasin » vient de publiquement échouer à l'échelle industrielle, dans une campagne nommée, avec une infrastructure d'opérateur nommée, avec 20 000 installations. Demander à l'utilisateur de juger mieux que l'équipe de modération de Google, ce n'est pas un modèle de sécurité.

La version dure de cette position — la version Bromure — est de supprimer la capacité. Pas d'extensions installables par l'utilisateur. Pas d'interrupteur avancé. Pas d'« extensions non listées, chargées depuis un .crx, pour les utilisateurs avancés ». L'attaquant ne peut pas exploiter une capacité que le navigateur ne propose pas.

Ce que cela coûte, et pourquoi le compromis est honnête.

Soyons honnêtes : c'est un vrai compromis, et cela mérite d'être nommé clairement.

Pas d'uBlock Origin

Bromure embarque sa propre couche de filtrage de contenu au niveau de la VM et du réseau, mais si vous utilisiez spécifiquement uBlock Origin, vous ne l'aurez pas ici. Vous pouvez lire notre billet distinct sur la manière dont Bromure gère la publicité ; en bref, le blocage de pub quitte le navigateur pour aller dans l'infrastructure qui le supporte.

Pas d'extension 1Password, Bitwarden ou LastPass

L'extension navigateur de votre gestionnaire de mots de passe ne s'installe pas dans Bromure. Les gestionnaires de mots de passe fonctionnent très bien en tant qu'applications natives sur votre Mac, et la plupart d'entre eux savent copier-coller ou saisir automatiquement dans le navigateur depuis l'extérieur. C'est un changement de workflow, pas une perte d'outil.

Pas de Grammarly, pas de React DevTools, pas de portefeuille Web3

La catégorie « extensions qui ajoutent une fonctionnalité à votre navigation » et la catégorie « extensions qui détiennent les clés de votre vie numérique » disparaissent toutes les deux. Pour la plupart des utilisateurs, la première est une petite perte. Pour les développeurs ou les utilisateurs de crypto, elle est plus grande. Si cette perte est rédhibitoire, Bromure n'est pas votre navigateur principal — et c'est une réponse honnête.

Ce que vous obtenez en échange

108 extensions malveillantes ne peuvent pas atterrir sur votre Mac, parce qu'il n'y a pas de canal pour les installer. Cinq faux éditeurs ne peuvent pas tromper un processus de modération qui n'existe pas, parce qu'on ne vous invite pas à faire confiance à des modérateurs au départ. La surface d'attaque dans cette histoire — la principale — est fermée.

Une nuance mérite d'être dite franchement. Bromure charge bien un petit nombre d'extensions internes à l'intérieur de la VM — un pont de justificatifs pour parler au gestionnaire de mots de passe de votre Mac, un bloqueur WebRTC pour les cas de fuite d'IP sur lesquels nous avons déjà écrit, et quelques autres utilitaires d'instrumentation. Elles font partie de l'architecture même du navigateur, cuites dans l'image disque, et non quelque chose qu'une session en cours peut ajouter ou remplacer. Ce n'est pas une porte dérobée pour installer des extensions utilisateur ; c'est le navigateur qui est le navigateur. Les appeler « extensions », c'est nommer honnêtement le mécanisme, pas un magasin secret.

C'est le modèle de modération qui est cassé.

Il est tentant de lire l'histoire des 108 extensions comme une histoire propre à Google. Ce n'en est pas une. Le magasin d'extensions de Mozilla et le magasin Edge de Microsoft ont, selon le suivi plus large de LayerX, hébergé des campagnes apparentées pendant des années — dans certains cas nées sur Edge avant d'étendre leur présence à Chrome. Le facteur commun n'est pas une équipe de modérateurs particulière. C'est le modèle : soumettre, se faire approuver, publier, puis pousser des mises à jour automatiques aux utilisateurs installés avec une supervision continue minimale. Tout programme appelé à tourner sur des millions de machines sous ce modèle finira, tôt ou tard, par attirer des gens prêts à industrialiser la faille.

C'est un navigateur plus petit à cause de ce choix. C'est précisément l'objectif. Un navigateur axé sur la sécurité qui continue à dire oui à chaque extension du Web Store n'est pas un navigateur axé sur la sécurité ; c'est un navigateur ordinaire avec un autre logo. Quand c'est le magasin qui est la menace, la seule réponse honnête consiste à ne pas prendre d'extensions dans le magasin. Votre Mac en sortira, à notre avis, plus sûr.

Si vous voulez ce que fait Bromure, installez-le et essayez-le comme navigateur par défaut pour la moitié risquée de votre navigation — les liens cliqués dans les groupes de discussion, les résultats de recherche dont vous n'êtes pas tout à fait sûr, les pièces jointes d'e-mail professionnel qui ont toujours l'air d'ouvrir « une page ». Si l'opérateur de GhostPoster est encore là, et que les 108 prochaines extensions arrivent demain, une session Bromure n'en saura rien.