17 extensions de navigateur ont espionné des centaines de milliers d’internautes sans se faire remarquer

Une campagne d’espionnage baptisée GhostPoster a exploité 17 extensions populaires sur Chrome, Edge et Firefox. Installées plus de 840 000 fois, elles ont discrètement collecté données et habitudes de navigation grâce à des techniques de camouflage sophistiquées.

Quand des outils du quotidien deviennent des mouchards

Installer une extension de navigateur est devenu un réflexe banal. Un traducteur pour comprendre une page étrangère, un outil pour capturer une capture d’écran, un bloqueur de publicités ou un petit module pour télécharger une vidéo : en quelques clics, le navigateur se transforme en couteau suisse. Le problème, c’est que cette confiance quasi automatique vient d’être sérieusement ébranlée.

Des chercheurs en sécurité ont mis au jour une campagne d’espionnage de grande ampleur, baptisée GhostPoster, qui s’est appuyée sur 17 extensions malveillantes diffusées sur Google Chrome, Microsoft Edge et Mozilla Firefox. Au total, ces modules ont été installés plus de 840 000 fois. Leur objectif n’était pas d’afficher des publicités agressives ou de bloquer le navigateur, mais quelque chose de bien plus discret : observer, collecter et monétiser l’activité des internautes.

Une opération patiente et structurée

Ce qui frappe dans cette affaire, c’est le degré d’organisation. Les analyses montrent que toutes ces extensions reposent sur la même infrastructure et utilisent les mêmes méthodes. La campagne aurait d’abord pris racine sur Edge avant de s’étendre progressivement à Firefox et Chrome, preuve d’une stratégie pensée sur le long terme et non d’un simple coup opportuniste.

Derrière GhostPoster, on ne trouve pas un petit groupe improvisé, mais une structure criminelle bien équipée, capable de maintenir des outils en ligne pendant des années, d’en créer des variantes et de contourner les mécanismes de contrôle des boutiques officielles.

Certaines de ces extensions étaient même présentes sur les stores depuis 2020, ce qui montre à quel point la patience a été une arme centrale de l’opération. Plus un logiciel paraît ancien et populaire, plus il inspire confiance. Les attaquants l’ont parfaitement compris.

Des extensions qui font vraiment ce qu’elles promettent

Contrairement à beaucoup d’arnaques grossières, ces modules ne cherchaient pas à tromper l’utilisateur sur leur fonction. Ils traduisaient réellement du texte, prenaient bien des captures d’écran, bloquaient effectivement certaines publicités ou permettaient de télécharger des contenus.

C’est précisément ce comportement normal qui explique leur succès. Pour l’utilisateur, rien ne semblait suspect. L’extension faisait le travail demandé, ne ralentissait pas particulièrement le navigateur et ne déclenchait aucune alerte visible.

En arrière-plan, en revanche, un tout autre mécanisme était à l’œuvre.

Une activation différée pour passer sous les radars

L’un des aspects les plus ingénieux — et les plus inquiétants — de GhostPoster est le délai volontaire avant l’activation du code malveillant. Une fois l’extension installée, elle pouvait rester parfaitement inoffensive pendant 48 heures à cinq jours, parfois davantage selon les variantes.

Ce temps de sommeil permettait de déjouer les contrôles automatiques effectués par les plateformes de distribution. Lorsqu’une extension est examinée peu après sa mise en ligne, elle semble propre. Le piège ne se referme que plus tard, une fois l’outil déjà largement diffusé.

C’est un peu comme si une valise passait tous les contrôles de sécurité à l’aéroport, pour révéler son contenu bien après l’embarquement.

De la stéganographie pour cacher le poison

Autre technique utilisée : la stéganographie. Le principe consiste à dissimuler du code dans des fichiers qui semblent parfaitement anodins, en l’occurrence des images, le plus souvent l’icône même de l’extension.

À l’œil nu, il s’agit d’un simple fichier PNG. Mais en réalité, des données supplémentaires sont cachées dans ses pixels. L’extension lit ensuite ces données binaires, reconstruit dynamiquement le code malveillant et l’exécute dans le navigateur.

Résultat : aucun script dangereux n’apparaît clairement dans les fichiers principaux de l’extension. Les contrôles automatiques passent à côté, et l’utilisateur n’a aucune raison de se méfier.

Un chargeur capable d’évoluer dans le temps

Une fois réveillé, ce mécanisme caché ne se contente pas d’agir une fois. Il télécharge une charge utile supplémentaire, fortement obfusquée, et l’exécute avec les permissions déjà accordées à l’extension.

Et surtout, cette charge peut être modifiée à distance. Autrement dit, les attaquants peuvent faire évoluer le comportement de l’extension sans publier de mise à jour visible sur le store. Aujourd’hui, elle espionne la navigation. Demain, elle peut ajouter d’autres fonctions, toujours en silence.

C’est l’équivalent d’un appareil électroménager capable de changer de programme tout seul, sans prévenir, après avoir été installé chez vous.

Ce que ces extensions faisaient réellement

Les fonctions observées couvrent un spectre large, mais toujours orienté vers la monétisation et la surveillance :

  • Vol d’identifiants et de données personnelles via l’injection de scripts dans les pages visitées.
  • Surveillance détaillée de la navigation pour établir un profil de l’utilisateur : sites consultés, habitudes, centres d’intérêt.
  • Injection d’iframes invisibles et de scripts liés à la fraude publicitaire.
  • Détournement de liens d’affiliation pour générer des revenus au profit des attaquants.
  • Dans certains cas, modification d’en-têtes HTTP comme CSP ou HSTS, qui servent normalement à renforcer la sécurité et l’usage des connexions chiffrées, afin d’affaiblir les protections du navigateur.

Pris séparément, ces agissements peuvent sembler techniques. Ensemble, ils dessinent un tableau clair : l’utilisateur devient un produit, observé, analysé et exploité à son insu.

Les 17 extensions identifiées

Les chercheurs ont dressé une liste précise des modules impliqués. Plusieurs sont des variantes ou des doublons, mais tous sont liés à la même campagne :

  • Page Screenshot Clipper
  • Full Page Screenshot
  • Convert Everything
  • Translate Selected Text with Google
  • Youtube Download
  • RSS Feed
  • Ads Block Ultimate
  • AdBlocker
  • Color Enhancer
  • Floating Player – PiP Mode
  • One Key Translate
  • Cool Cursor
  • Google Translate in Right Click
  • Translate Selected Text with Right Click
  • Amazon Price History
  • Save Image to Pinterest on Right Click
  • Instagram Downloader

On remarque que les thèmes sont volontairement très attractifs : traduction, capture d’écran, blocage de publicités, téléchargement de contenus. Autant d’usages courants qui ne suscitent aucune méfiance.

Des retraits, mais pas une solution miracle

Mozilla et Microsoft ont retiré les extensions concernées de leurs boutiques. Cela limite la propagation, mais ne règle pas tout. Une extension déjà installée reste présente et active tant que l’utilisateur ne la supprime pas lui-même.

Selon les navigateurs et les profils, la désactivation automatique n’est pas toujours immédiate ni parfaitement homogène. Autrement dit, compter uniquement sur l’éditeur du navigateur n’est pas suffisant.

Le bon réflexe : faire le ménage régulièrement

Pour les particuliers, la mesure la plus simple est aussi la plus efficace : passer en revue la liste des extensions installées.

Sur Chrome, par exemple, un tour dans chrome://extensions permet de voir rapidement ce qui est présent. Tout ce qui n’est plus utilisé, tout ce dont l’origine est floue ou l’utilité discutable, devrait être supprimé sans hésitation.

Il est également crucial de regarder les autorisations demandées. Une extension de traduction ou de capture d’écran n’a, en principe, aucune bonne raison d’exiger un accès complet à tous les sites et à toutes les données de navigation.

L’ancienneté, le nombre d’installations et les bonnes notes ne sont plus des garanties suffisantes. GhostPoster l’a montré : même un module présent depuis des années peut cacher un second visage.

Et en entreprise ?

Dans un contexte professionnel, l’approche doit être plus structurée. La meilleure défense reste une politique d’extensions claire : inventaire centralisé, liste d’extensions autorisées, installations limitées aux besoins métiers.

Cela peut sembler contraignant, mais c’est le prix à payer pour éviter que des centaines de postes de travail ne deviennent, sans le savoir, des capteurs d’informations au profit d’un acteur malveillant.

Une leçon sur la confiance numérique

L’affaire GhostPoster rappelle une vérité simple : dans l’écosystème numérique, la frontière entre outil utile et espion discret peut être extrêmement fine. Ce n’est pas parce qu’un logiciel est populaire, ancien ou bien noté qu’il est inoffensif.

À l’échelle d’Internet, une extension n’est qu’un petit morceau de code. Mais installée sur des centaines de milliers de machines, elle devient un réseau de capteurs redoutablement efficace.

La prudence, ici, n’est pas de la paranoïa. C’est devenu une mesure d’hygiène de base.

--

Source : https://layerxsecurity.com/fr/blog/browser-extensions-gone-rogue-the-full-scope-of-the-ghostposter-campaign/