Veille Cybersécurité

Des extensions Chrome malveillantes se font passer pour des outils d'IA afin de voler des données personnelles

Alors que l’intelligence artificielle s’intègre de plus en plus dans les outils web et les navigateurs, des cybercriminels profitent de cette tendance pour développer de fausses extensions Chrome soi-disant alimentées par l’IA. Ces extensions, téléchargées par des centaines de milliers d’utilisateurs, volaient en réalité des identifiants et des emails, exposant massivement la vie privée des internautes.

Introduction

Des dizaines de milliers d’utilisateurs d’extensions Chrome ont récemment été victimes d’une campagne malveillante exploitant la crédulité du public vis-à-vis des outils d’intelligence artificielle. Se faisant passer pour des utilitaires liés à ChatGPT ou à d’autres IA populaires, ces extensions volaient des identifiants de session et des emails. Le rapport de Bleeping Computer dévoile cette nouvelle menace et montre comment les pirates utilisent la popularité de l’IA pour pénétrer l’environnement navigateur des internautes.

Des extensions IA frauduleuses sur le Chrome Web Store

Identifiées en janvier 2024, plusieurs extensions prétendant offrir des fonctionnalités d’IA avancées, comme des intégrations de ChatGPT dans Chrome, abritaient en réalité un logiciel espion. Parmi elles, "ChatGPT For Google" devait améliorer les résultats de recherche avec des réponses IA mais injectait du code pour extraire les cookies et données de session de Facebook. Au total, des extensions infectées ont été téléchargées plus de 300 000 fois.

Comment ces extensions volaient les données

Les extensions malveillantes fonctionnaient sur un modèle simple mais efficace. Une fois installée, l’extension chargeait dynamiquement un script distant qui permettait d’intercepter des cookies de connexion, notamment ceux de Facebook. Ces cookies permettaient ensuite aux attaquants d’usurper l’identité de l’utilisateur et d'accéder à ses messages privés, groupes et pages professionnelles.

Le code contenait également une logique conditionnelle : il n’activait ses fonctions d’espionnage qu’une fois les conditions réunies, ce qui compliquait sa détection par Google lors d’un premier audit de la soumission sur le Chrome Web Store.

Impact et portée de l’attaque

Les chercheurs de Guardio Labs indiquent que les extensions piégées ont permis aux hackers de récupérer de nombreuses informations personnelles. En se connectant furtivement sur les comptes Facebook, les auteurs de l’attaque pouvaient accéder aux profils de pages de marque, aux données d’audience et potentiellement gérer des campagnes publicitaires. Cette attaque soulève un enjeu fort de cybersécurité, notamment pour les professionnels du digital qui gèrent leurs activités via des outils connectés et des navigateurs web.

Une des extensions, publiée en février 2024, a été téléchargée plus de 200 000 fois en quelques jours avant d’être retirée.

Mesures de sécurité et prévention

Pour se prémunir contre ce type d’attaques, les experts recommandent plusieurs bonnes pratiques :

  • Vérifier les permissions demandées par une extension Chrome avant de l’installer.
  • Éviter de télécharger des extensions peu connues, même si elles prétendent être liées à des outils populaires comme ChatGPT.
  • Maintenir des solutions antivirus et antimalware à jour.
  • Utiliser l’authentification à deux facteurs, notamment pour les comptes sensibles comme Facebook ou Google.

Les utilisateurs professionnels doivent envisager d’utiliser des outils d’administration centralisée pour gérer les extensions sur leur parc informatique.

Le rôle de Google et du Chrome Web Store

Cette attaque met de nouveau en lumière les failles du Chrome Web Store de Google. Bien que la firme de Mountain View dispose de systèmes d’analyse automatisés pour détecter les comportements malveillants, ce système reste perfectible : les hackers contournent efficacement la modération en retardant l’exécution de scripts hostiles jusqu'après validation de l’extension.

Suite à l’alerte lancée par Guardio Labs, Google a retiré certaines des extensions frauduleuses. Cependant, la facilité avec laquelle ces extensions ont été publiées et popularisées démontre l’importance de mécanismes de vérification manuelle et communautaire.

Conclusion

Les cybercriminels exploitent l’intérêt grandissant du public pour les outils d’intelligence artificielle afin d’implanter des logiciels espions dans les navigateurs. À travers de fausses extensions Chrome, ces hackers peuvent voler des informations sensibles et accéder à des comptes professionnels comme Facebook Business. Cette menace souligne le besoin crucial de vigilance numérique pour les utilisateurs et les marketeurs, ainsi que d’un renforcement des contrôles du côté des marketplaces officielles comme le Chrome Web Store.

L’intérêt pour les IA va continuer de croître en 2024, et avec lui viendront des menaces encore plus sophistiquées. Une bonne hygiène numérique et une veille cybersécurité active deviendront indispensables pour tous les professionnels du numérique.

Alban Picard
Expert Drupal & Stratégie Digitale Alban Picard

Expert Drupal & stratégie digitale chez Agence Tuesday depuis 2010. Accompagne les entreprises dans leur transformation numérique.

Découvrir l'équipe Tuesday

Newsletter · 1 envoi / semaine

Tout le savoir Tuesday,
dans votre boîte mail

Articles de fond et veille de la semaine, sélectionnés et commentés. Un seul abonnement pour les deux flux. Pas de spam, jamais — ~2 200 abonnés.

En vous abonnant, vous acceptez de recevoir la newsletter de l'agence Tuesday. Désinscription en un clic.