Des chercheurs ont découvert une nouvelle famille d'extensions malveillantes dans le Chrome Store. Cette fois-ci, 30 Chrome différentes ont été identifiées comme volant les identifiants de plus de 260 000 utilisateurs.
Les extensions affichaient un iframe en plein écran pointant vers un domaine distant. Cet iframe recouvrait la page Web actuelle et apparaissait visuellement comme l'interface de l'extension. Cette fonctionnalité étant hébergée à distance, elle n'a pas été prise en compte lors de l'examen qui a permis l'intégration des extensions dans le Web Store.
Dans d'autres découvertes récentes, nous avons signalé des extensions espionnant les conversations ChatGPT, des extensions dormantes surveillant l'activité du navigateur et une fausse extension provoquant délibérément un plantage du navigateur.
Pour répartir le risque de détection et de suppression, les pirates ont utilisé une technique appelée « extension spraying ». Cela signifie qu'ils ont utilisé différents noms et identifiants uniques pour une extension fondamentalement identique.
Souvent, les chercheurs fournissent une liste de noms et d'identifiants d'extensions, et c'est aux utilisateurs de déterminer s'ils ont installé l'une de ces extensions.
La recherche par nom est facile lorsque vous ouvrez l'onglet « Gérer les extensions », mais malheureusement, les noms des extensions ne sont pas uniques. Vous pourriez, par exemple, avoir installé une extension légitime qu'un criminel a tenté d'usurper.
Recherche par identifiant unique
Pour Chrome Edge, l'ID d'une extension de navigateur est une chaîne unique de 32 caractères composée de lettres minuscules qui reste inchangée même si l'extension est renommée ou rééditée.
Lorsque nous examinons les extensions sous l'angle de leur suppression, il en existe deux types : celles installées par l'utilisateur et celles installées de force par d'autres moyens (administrateur réseau, logiciel malveillant, objet de stratégie de groupe (GPO), etc.).
Dans ce guide, nous nous intéresserons uniquement au premier type, à savoir les extensions que les utilisateurs ont installées eux-mêmes à partir du Web Store. Le guide ci-dessous concerne Chrome, mais il est pratiquement identique pour Edge.
Comment trouver les extensions installées
Vous pouvez consulter les Chrome installées comme suit :
- Dans la barre d'adresse, tapez
chrome://extensions/. - Cela ouvrira l'onglet Extensions et vous montrera les extensions installées par nom.
- Activez maintenant le mode développeur et vous verrez également leur identifiant unique.
Méthode de suppression dans le navigateur
Utilisez le bouton Supprimer pour éliminer toutes les entrées indésirables.
Si elle disparaît et reste absente après le redémarrage, vous avez terminé. S'il n' y a pas de bouton Supprimer ou Chrome qu'elle a été « installée par votre administrateur », ou si l'extension réapparaît après un redémarrage, cela signifie qu'une politique, une entrée de registre ou un logiciel malveillant la force à rester.
Alternative
Vous pouvez également effectuer une recherche dans le dossier Extensions. Sous Windows ce dossier se trouve ici : C:\Users\<your‑username>\AppData\Local\Google\Chrome\User Data\Default\Extensions.
Veuillez noter que le dossier AppData est masqué par défaut. Pour afficher les fichiers et dossiers masqués dans Windows, ouvrez l'Explorateur, cliquez sur l'ongletAffichage(ou le menu) et cochez la caseÉléments masqués. Pour accéder à des options plus avancées, sélectionnezOptions > Modifier les options des dossiers et de recherche > onglet Affichage, puis sélectionnezAfficher les fichiers, dossiers et lecteurs masqués.
Vous pouvez classer la liste par ordre alphabétique en cliquant une ou deux fois sur l'en-tête de la colonne Nom . Cela facilite la recherche d'extensions si vous en avez beaucoup installées.
La suppression du dossier d'extension présente ici un inconvénient. Elle laisse une entrée orpheline dans votre navigateur. Lorsque vous Chrome après avoir effectué cette opération, l'extension ne se charge plus car ses fichiers ont disparu. Mais elle apparaît toujours dans l'onglet Extensions, sans l'icône correspondante.
Nous vous conseillons donc de supprimer les extensions dans le navigateur lorsque cela est possible.
Extensions malveillantes
Vous trouverez ci-dessous la liste des extensions utilisant la méthode iframe pour voler des identifiants, telle que fournie par les chercheurs.
| ID d'extension | Nom de l'extension |
|---|---|
| acaeafediijmccnjlokgcdiojiljfpbe | Traduction ChatGPT |
| baonbjckakcpgliaafcodddkoednpjgf | XAI |
| bilfflcophfehljhpnklmcelkoiffapb | L'IA au service de la traduction |
| cicjlpmjmimeoempffghfglndokjihhn | Générateur de lettres de motivation par IA |
| ckicoadchmmndbakbokhapncehanaeni | Rédacteur d'e-mails IA |
| ckneindgfbjnbbiggcmnjeofelhflhaj | Générateur d'images IA Chat GPT |
| cmpmhhjahlioglkleiofbjodhhiejhei | Traducteur IA |
| dbclhjpifdfkofnmjfpheiondafpkoed | Générateur de fonds d'écran Ai |
| djhjckkfgancelbmgcamjimgphaphjdl | Barre latérale IA |
| ebmmjmakencgmgoijdfnbailknaaiffh | Discutez avec Gemini |
| ecikmpoikkcelnakpgaeplcjoickgacj | Générateur d'images IA |
| fdlagfnfaheppaigholhoojabfaapnhb | Google Gemini |
| flnecpdpbhdblkpnegekobahlijbmfok | Générateur d'images ChatGPT |
| fnjinbdmidgjkpmlihcginjipjaoapol | Générateur d'e-mails IA |
| fpmkabpaklbhbhegegapfkenkmpipick | Chat GPT pour Gmail |
| fppbiomdkfbhgjjdmojlogeceejinadg | Barre latérale Gemini AI |
| gcfianbpjcfkafpiadmheejkokcmdkjl | Lama |
| gcdfailafdfjbailcdcbjmeginhncjkb | Chatbot Grok |
| gghdfkafnhfpaooiolhncejnlgglhkhe | Barre latérale IA |
| gnaekhndaddbimfllbgmecjijbbfpabc | Demandez à Gemini |
| gohgeedemmaohocbaccllpkabadoogpl | DeepSeek Chat |
| hgnjolbjpjmhepcbjgeeallnamkjnfgi | Générateur de lettres IA |
| idhknpoceajhnjokpnbicildeoligdgh | Traduction ChatGPT |
| kblengdlefjpjkekanpoidgoghdngdgl | IA GPT |
| kepibgehhljlecgaeihhnmibnmikbnga | Télécharger DeepSeek |
| lodlcpnbppgipaimgbjgniokjcnpiiad | Générateur de messages IA |
| llojfncgbabajmdglnkbhmiebiinohek | Barre latérale ChatGPT |
| nkgbfengofophpmonladgaldioelckbe | Chatbot GPT |
| nlhpidbjmmffhoogcennoiopekbiglbp | Assistant IA |
| phiphcloddhmndjbdedgfbglhpkjcffh | Demander à Chat Gpt |
| pgfibniplgcnccdnkhblpmmlfodijppg | ChatGBT |
| cgmmcoandmabammnhfnjcakdeejbfimn | Grok |
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
