le problème de sécurité de Google Chrome

Extension officielle de la navette fantôme Chrome

Cette semaine, les chercheurs de Socket ont découvert une découverte qui pourrait mettre de nombreux utilisateurs entre le marteau et l’enclume. Et deux extensions Chrome volent les données des utilisateurs depuis 8 ans sans être détectées jusqu'à présent. Mais nous ne parlons pas ici d’un simple malware, mais plutôt d’une fraude plus sophistiquée.

Les utilisateurs s'arrêtent pour l'extension Navette fantômecroyant bénéficier d’un bon service VPN, alors qu’en réalité ils financent le vol de leurs données. Le mécanisme de fonctionnement de cette extension intercepte automatiquement tout le trafic Internet de l'utilisateur, et injecte de fausses données à chaque authentification. Ainsi, il joue le rôle d’intermédiaire entre les utilisateurs et les sites Internet qu’ils visitent. L'utilisateur pense disposer d'un VPN sécurisé, mais en réalité, ses mots de passe, ses cartes de crédit, ses jetons d'accès et tout type de compte sont divulgués vers des serveurs contrôlés par des attaquants.

Mais le plus inquiétant est que ce n’est ni la première, ni la deuxième, ni la troisième, ni la quatrième fois que cela se produit. Chrome dispose d'un modèle de sécurité très fragile que de nombreuses extensions malveillantes ont évité sans aucun problème.

Le « VPN » de Phantom Suttle

Les 2 variantes de Phantom Shuttle ont été lancées respectivement en 2017 et 2023. Le premier a accumulé 2 000 utilisateurs, et le plus récent, 180. En fait, les deux ont été promus de la même manière. C'est-à-dire comme de véritables outils destinés aux développeurs et à pratiquement tous les types d'utilisateurs. Mais leur fraude est extrêmement simple. C'est ce qui a été publié par chercheurs en cybersécurité de Socket.

Les utilisateurs téléchargent l'extension, paient un abonnement – ​​il doit être en yuan chinois, via Alipay – et reçoivent le « statut VIP ». En fait, on pourrait dire que c'est là que vous êtes perdu. C’est là que commence votre « vrai » travail. Ce qui se passe est terrifiant pour tout utilisateur.

Phantom Shuttle, référentiel VPN officiel sur le Chrome Web Store. Photo : Prise.

L'extension commence à injecter du code malveillant dans 2 bibliothèques JavaScript : jquery et script.js. Cela intercepte automatiquement chaque authentification HTTP reçue par le navigateur. Et lorsqu'un site Web demande des informations d'authentification, l'extension répond avec des informations d'identification de proxy modifiées (topfany/963852wei).

Il configure ensuite Chrome pour acheminer le trafic vers plus de 170 domaines de grande valeur via des serveurs proxy contrôlés par les attaquants. Cette liste comprend des plateformes telles que :

  • GitHub
  • Débordement de pile
  • Docker
  • AWS
  • Azuré
  • Océan numérique
  • Cisco
  • IBM
  • VMware
  • Facebook
  • Instagram
  • Gazouillement

Et même des sites de contenu pour adultes. Pendant que tout cela se produit, toutes les 5 minutes, l'extension envoie l'e-mail et le mot de passe de l'utilisateur au serveur de contrôle. Il s’agit donc d’une fuite continue de données. Ainsi, l'attaquant capture les mots de passe, les numéros de carte de crédit, les cookies, l'historique de navigation, les données de formulaire, les clés API et les jetons d'accès.

Même en faisant tout cela, le VPN fonctionne toujours comme prévu : des tests de latence parfaits, l’état de la connexion en temps réel, une parfaite illusion d’un produit légal et fonctionnel.

Le trou structurel de Google Chrome

Nous avons atteint un point où, après le grand nombre d'extensions malveillantes trouvées dans Chrome, le vrai problème n'est pas qu'il y en ait autant, mais que Google a permis que cela se produise. Evidemment, pas en complice, mais avec son modèle d'autorisations extrêmement permissif pour les extensions.

Une extension peut demander l'accès à notre trafic, à nos identifiants ou à notre historique de navigation. Évidemment, de nombreux utilisateurs font confiance à leur navigateur et acceptent ces conditions. En fait, Phantom Shuttle semblait totalement légal sur le Chrome Web Store. Avec leurs descriptions, utilisateurs et avis.

Google devrait donc renforcer ses systèmes automatiques et se mettre à jour contre les menaces pour détecter les comportements malveillants. En particulier, examinez attentivement les extensions qui demandent des autorisations de proxy et des systèmes d'abonnement. Mais soit il ne le fait pas, soit il ne le fait pas bien.

5 astuces Google Photos pour terminer votre 2025 avec la meilleure collection de photos et de vidéos

8 façons d'utiliser votre IA générative d'images

Une question ? Une demande de partenariat ? Contactez-nous !

Contact

© 2026 Progiciels Mag - Progiciels-mag@sfr.fr

À propos