Extensions IA malveillantes sur Chrome : alerte à l’exfiltration de données

Les extensions de navigateur promettant des assistants IA ou des fonctionnalités pratiques ont envahi les stores ces dernières années. Leur popularité facilite l’adoption rapide, mais aussi l’abus par des acteurs malveillants qui transforment des modules légitimes en outils d’espionnage et d’exfiltration de données.

Depuis 2024, 2025, plusieurs enquêtes ont mis en lumière des campagnes massives , notamment la campagne dite « ShadyPanda » , où des mises à jour silencieuses et des compromissions de comptes développeurs ont permis d’introduire du code malveillant dans des extensions ayant des millions d’installations.

Le phénomène ShadyPanda et l’utilisation des mises à jour

Le 1er décembre 2025, Koi Security a publié une analyse détaillée de la campagne « ShadyPanda » : au moins dix extensions Chrome et Edge ont été transformées en spyware via des mises à jour, totalisant environ 4,3 millions d’installations. Les fonctionnalités observées vont de l’exfiltration de l’historique à l’exécution de code à distance (RCE), en passant par le vol de cookies et le suivi des clics au pixel.

Koi identifie deux opérations distinctes actives : une campagne RCE touchant environ 300 000 utilisateurs et une vaste opération de type spyware impactant près de 4 millions d’installations (dont WeTab ≈ 3M installs). Ces chiffres montrent que l’abus des mécanismes d’update peut transformer des extensions répandues en portes dérobées globales.

Plusieurs analystes ont souligné un point critique : « The auto-update mechanism, designed to keep users secure, became the attack vector. » L’usage de mises à jour silencieuses via la chaîne d’approvisionnement a permis aux opérateurs de diffuser du code malveillant sans lever d’alerte immédiate chez les utilisateurs.

Techniques d’infection et compromission de la chaîne d’approvisionnement

Les acteurs exploitent souvent des campagnes de phishing ciblées sur les développeurs pour compromettre des comptes sur le Chrome Web Store. Blackwell Helix et d’autres rapports ont documenté ce mode opératoire : une fois le compte dev compromis, les auteurs publient des versions malveillantes via les canaux officiels.

DomainTools Intelligence a observé dès mai 2025 un acteur créant plus de 100 sites et extensions factices depuis février 2024. Ces extensions à double fonctionnalité semblent offrir une utilité réelle tout en communiquant avec des serveurs malveillants, exécutant du code distant et volant cookies/sessions.

Les mises à jour via la chaîne officielle rendent la détection plus difficile : une extension légitime peut rester installée et fonctionner normalement tout en recevant progressivement des modules d’espionnage. La suppression du listing sur le store ne suffit pas toujours, la désinstallation manuelle côté client étant souvent nécessaire pour interrompre la persistance.

Permissions abusives et capacités d’exfiltration

Les enquêtes techniques ont dégagé des schémas récurrents : permissions excessives ({access to all URLs}, cookies, webRequest, tabs, storage) et mécanismes d’exécution de code distant intégrés dans les manifests ou la configuration. Ces permissions permettent d’intercepter, modifier et rediriger des requêtes, et de voler des tokens de session.

DomainTools et d’autres équipes ont décrit l’usage de WebSockets pour les canaux C2, ainsi que des contournements de CSP par des handlers DOM temporaires pour exécuter des payloads. Ces techniques rendent l’extension capable non seulement d’espionner mais aussi d’agir en tant que proxy d’exfiltration.

Concrètement, les capacités observées incluent le vol de cookies et mots de passe, le détournement de sessions (session hijacking), l’injection de publicités malveillantes et la transformation du navigateur en un agent d’exfiltration vers des serveurs contrôlés par l’attaquant.

Impact chiffré et corpus d’extensions malveillantes

Les rapports publics entre décembre 2024 et 2025 varient selon les sources : des résumés indiquent entre 33 et plus de 100 extensions compromises. Par exemple, une série mentionnait 33 extensions rétrogradées en backdoor affectant environ 2,6 millions de dispositifs, tandis que DomainTools a répertorié plus de 100 extensions/sitessus le même cycle.

Les analyses croisées montrent des regroupements de code réutilisé : au moins 35 extensions partageant un même code et environ 4 millions d’installations signalées dans certains rapports. LayerX a identifié plus de 40 extensions liées à des campagnes de phishing en grappes, et des études académiques récentes (préprint arXiv, 10 déc. 2025) ont examiné 5 551 extensions thématiques IA pour identifier 154 malveillantes inédites et un corpus final de 341 extensions malveillantes.

Ces chiffres montrent une menace durable et évolutive : des campagnes actives sur plusieurs années (certains rapports retracent des activités depuis 2018 ou 2023) et une exploitation rapide des tendances GenAI pour appâter les utilisateurs, augmentant l’impact potentiel.

Détection, bonnes pratiques et recommandations immédiates

Les autorités académiques et les CERTs (ex. Carnegie Mellon ISO, avis du 1er mars 2025) recommandent des actions concrètes : désinstaller les extensions inconnues, révoquer ou supprimer les permissions inutiles, et réinitialiser les mots de passe après une compromission potentielle.

D’autres mesures pratiques incluent la vidange du stockage et de la synchronisation Chrome (pour supprimer identifiants persistants), l’activation de l’authentification multifacteur (MFA) sur les comptes sensibles, et l’usage d’un gestionnaire de mots de passe. Les chercheurs insistent aussi pour vérifier régulièrement les extensions installées et privilégier celles d’éditeurs connus et bien évalués.

En entreprise, il est recommandé d’appliquer des politiques centralisées : blocage ou whitelisting d’extensions, audits réguliers, monitoring des connexions sortantes depuis postes utilisateurs, et revues de sécurité des intégrations Agent/IA. Ces mesures réduisent la surface d’attaque côté client et limitent la capacité d’exfiltration.

Réponses des éditeurs et évolutions techniques

Face à ces menaces, Google a annoncé des mesures techniques pour limiter les risques liés aux agents et aux IA embarquées. Dans son billet de blog du 8 décembre 2025, Google présente le « User Alignment Critic » et les « Agent Origin Sets » : le premier est un modèle isolé qui valide ou refuse les actions d’un agent, tandis que les seconds confineraient les origines lisibles/écrites par l’agent. Google écrit : « The User Alignment Critic runs after the planning is complete to double‑check each proposed action. »

Ces évolutions montrent une prise en compte du problème au niveau plateforme, en cherchant à mettre une barrière supplémentaire entre le comportement planifié par un agent IA et les effets réels sur le navigateur et les données de l’utilisateur.

néanmoins, les protections côté store et navigateur ne suffisent pas à elles seules : la prévention passe aussi par la vigilance des utilisateurs et des équipes IT, des contrôles de la chaîne d’approvisionnement logicielle et des pratiques de sécurité pour les développeurs afin d’éviter le phishing et la compromission des comptes développeurs.

Les extensions IA malveillantes sur Chrome constituent une menace réelle et évolutive : campagnes comme ShadyPanda montrent que même des modules populaires peuvent devenir des outils d’espionnage à large échelle via des mises à jour et la compromission de comptes développeurs.

Pour les utilisateurs comme pour les organisations, la réponse combine surveillance technique, hygiène numérique (MFA, gestionnaires de mots de passe, révoquer permissions) et politiques de contrôle des extensions. La vigilance reste le meilleur rempart contre l’exfiltration de données orchestrée par des extensions malveillantes.