287 extensions Chrome découvertes en train de collecter les données de navigation des utilisateurs

 (qcontinuum.substack.com)
4 points par GN⁺ 2026-02-12 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Un pipeline de scan automatisé basé sur une MITM (attaque de l’homme du milieu) a permis de détecter 287 extensions Chrome qui transmettent l’historique de navigation des utilisateurs vers l’extérieur
  • Ces extensions totalisent environ 37,4 millions d’installations, soit près de 1 % des utilisateurs de Chrome dans le monde
  • Les fuites de données impliquent d’importants courtiers en données comme Similarweb, Curly Doggo, Offidocs, Big Star Labs, ainsi que de nombreux acteurs plus modestes
  • L’analyse montre que certaines extensions utilisent des techniques de chiffrement comme ROT47, AES‑256, LZ-string pour dissimuler puis transmettre les données d’URL
  • Au-delà d’une simple atteinte à la vie privée, il s’agit d’une menace grave pouvant entraîner des risques de sécurité comme l’exposition d’URL de réseaux internes d’entreprise ou de consoles d’administration

Mise en place d’un pipeline de scan automatisé

  • L’équipe de recherche a construit un système automatisé enveloppant le navigateur Chrome dans un environnement Docker avec un proxy MITM, puis mesurant la corrélation du trafic sortant en fonction de la longueur des URL
    • Si le volume transmis augmente proportionnellement à la longueur de l’URL, l’extension est considérée comme envoyant l’URL vers l’extérieur
  • Le scan s’est déroulé en deux phases et a nécessité un total de 930 jours-CPU
    • Une première phase a testé 4 longueurs d’URL, puis si un ratio suspect (0.1 ≤ R < 1.0) était détecté, une nouvelle vérification était effectuée avec 6 longueurs supplémentaires

Détection et analyse des fuites de données

  • 287 extensions ont été confirmées comme transmettant l’historique de navigation à des serveurs externes
  • Le nombre total d’installations de ces extensions atteint environ 37,4 millions, soit près de 1 % des utilisateurs de Chrome à l’échelle mondiale
  • Les données exfiltrées sont envoyées à Similarweb, Curly Doggo, Offidocs, Big Star Labs, entre autres, et certaines sont de nouveau collectées via le scraper Kontera
  • En exploitant un serveur honeypot pour tracer les IP réellement chargées de la collecte, l’étude a constaté des accès répétés depuis cinq grands blocs d’adresses IP, dont HashDit, Blocksi AI Web Filter et Kontera

Principaux acteurs et liens entre eux

  • Une analyse OSINT a examiné les e-mails des développeurs, politiques de confidentialité et informations de certificats de chaque extension
  • Il a été confirmé que l’extension “Similar Sites” de Similarweb est liée au scraper Kontera ainsi qu’à Curly Doggo et Offidocs
  • Big Star Labs partage les mêmes motifs de code que Similarweb, ce qui suggère fortement qu’il pourrait s’agir de la même organisation

Exemples représentatifs de fuite

  • Poper Blocker : obscurcit les URL avec ROT47 puis les transmet à api2.poperblocker.com
  • Stylish : chiffre les URL avec AES‑256 et un chiffrement à clé publique RSA avant de les envoyer à userstylesapi.com
  • BlockSite et Video Ad Blocker Plus : transmettent les URL avec une compression LZ-string UTF16 et utilisent le même schéma de données
  • Similarweb : envoie des données de navigation avec encodage multiple d’URL vers rank.similarweb.com
  • WOT (Web of Trust) : chiffre les URL avec un encodage personnalisé basé sur XOR, avec une structure identique à celle de Similarweb
  • Smarty, CrxMouse, ApkOnline, Knowee AI, Super PiP et d’autres transmettent également des données via des paramètres d’URL, des en-têtes, l’API Google Analytics, etc.

Ampleur de la menace et impact

  • Environ 37,4 millions d’utilisateurs, soit l’équivalent de la population de la Pologne, sont concernés
  • Certaines extensions peuvent avoir besoin, pour leurs fonctionnalités, d’accéder à l’historique de navigation, mais beaucoup collectent des données sans consentement explicite
  • Les données exfiltrées peuvent être exploitées pour le ciblage publicitaire, l’espionnage d’entreprise ou le détournement de session
    • En particulier dans les environnements professionnels, les employés utilisant des extensions d’“amélioration de la productivité” risquent d’exposer des URL internes

Conclusion et avertissement

  • Un grand nombre des extensions analysées utilisent des techniques délibérées de chiffrement et de dissimulation pour éviter la détection
  • Cela semble relever non d’un simple bug, mais d’un modèle économique fondé sur la collecte de données
  • Il faut garder à l’esprit qu’avec un logiciel gratuit mais non open source, l’utilisateur peut devenir le “produit”
  • Lors de l’installation d’extensions Chrome, il est essentiel de vérifier les autorisations et l’origine

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.