Si la réclame vous énerve et que vous songez à installer un bloqueur de pubs, ne choisissez pas n’importe quelle extension de navigateur. Beaucoup d’entre-elles ne sont que des répliques d’extensions existantes et peuvent contenir des fonctionnalités malveillantes. Le chercheur en sécurité Andrey Meshkov de la société AdGuard vient récemment d’analyser cinq logiciels de ce type qui s’apparentent en réalité à des botnets. Il s’agit de AdRemover for Google Chrome, uBlock Plus, AdBlock Pro, HD for YouTube et Webutation. Ces logiciels totalisent plus de 20 millions d’utilisateurs, dont 90 % pour les deux seuls premiers.
Des commandes dissimulées dans une image
En analysant le code d’AdRemover for Google Chrome, le chercheur découvre que cette extension profite d’une librairie pour y dissimuler un code qui va collecter et envoyer des informations sur les pages que visite l’utilisateur. Par ailleurs, l’extension charge une image qui contient en réalité un code de script. En d’autres termes, elle reçoit des commandes en douce depuis un serveur distant. « Afin de ne pas être détectées, ces commandes sont cachées dans une image en apparence anodine. Ces commandes sont des scripts qui sont exécutés dans un contexte privilégié et qui peuvent modifier à volonté le comportement de votre navigateur. Dans le fond, c’est un botnet », explique Andrey Meshkov dans une note de blog.
Les quatre autres extensions fonctionnent de manière similaire. Le chercheur en sécurité a immédiatement alerté Google qui, depuis, a supprimé les cinq logiciels de son Chrome Web Store. Le problème, c’est qu’elles risquent de réapparaître rapidement sous un autre nom si le géant du web ne renforce pas le contrôle de sa boutique applicative. Il est donc vivement conseillé de ne pas installer n’importe quelle extension à la va-vite, mais de vérifier à chaque fois qui est responsable de son développement. En cas de doute, mieux vaut passer son chemin.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.