Extensions Chrome malveillantes : la campagne AiFrame exploite des failles de sécurité

Dans un monde où les extensions de navigateur promettent de révolutionner notre quotidien avec l’intelligence artificielle, certaines s’avèrent être des pièges redoutables. Une nouvelle campagne, baptisée AiFrame, a récemment été mise au jour, exposant plus de 300 000 utilisateurs à des risques de vol de données personnelles. Découvrez comment ces extensions parviennent à tromper même les plus vigilants.

L’essentiel à retenir

• Plus de 300 000 navigateurs ont été touchés par des extensions malveillantes se faisant passer pour des assistants IA.
• Les extensions collectent des données sensibles en utilisant des iframes distants, contournant ainsi les protections de sécurité.
• Malgré leur dangerosité, certaines de ces extensions sont encore disponibles sur le Chrome Web Store.

La menace des extensions Chrome

LayerX, une plateforme spécialisée dans la sécurité, a récemment découvert une campagne malveillante exploitant la popularité des assistants IA comme ChatGPT et Claude. Trente extensions Chrome ont été identifiées, partageant une infrastructure unique et un code similaire. Ces modules ont infiltré plus de 300 000 navigateurs, volant des informations sensibles telles que les identifiants, les emails et les données de navigation.

Technique de l’iframe distant

Les extensions incriminées n’intègrent aucune fonction IA locale. Elles utilisent des iframes pour afficher du contenu provenant de serveurs distants contrôlés par les attaquants. Cette méthode permet aux pirates de modifier le comportement des extensions sans nécessité de mise à jour, échappant ainsi aux dispositifs de sécurité du Chrome Web Store. En accédant aux pages visitées, ces extensions peuvent extraire des données via la bibliothèque Readability de Mozilla.

Focalisation sur Gmail

Parmi les extensions, quinze ciblent spécifiquement Gmail. Elles utilisent un script qui s’active dès l’ouverture de la messagerie et accède à la structure technique de la page pour extraire le contenu des emails. Les informations, y compris les fils de discussion et les brouillons, sont ensuite transmises aux serveurs des attaquants. Cette intrusivité met en lumière la sophistication des méthodes employées par les cybercriminels.

Contournement des suppressions et persistance

LayerX a observé qu’une extension supprimée en février 2025 a été republiée peu après avec un nouvel identifiant. Cette pratique permet aux attaquants de réintroduire des extensions malveillantes sur le marché, malgré les tentatives de suppression. Actuellement, sept de ces modules restent en ligne sur le Chrome Web Store, totalisant plus de 180 000 installations.

Google et la sécurité des extensions Chrome

Google, bien que leader dans le domaine des moteurs de recherche et des navigateurs, fait face à des défis constants concernant la sécurité de son Chrome Web Store. Les extensions malveillantes, comme celles de la campagne AiFrame, mettent en lumière la nécessité de renforcer les protocoles de vérification et de surveillance des extensions disponibles. Des concurrents comme Mozilla avec Firefox et Apple avec Safari appliquent également des mesures de sécurité strictes, ce qui incite Google à revoir ses stratégies pour protéger ses utilisateurs.

Source : https://davfi.fr/extensions-chrome-malveillantes-google-recommande-encore-des-modules-ia-veroles/