On utilise tous des extensions sur nos navigateurs, mais certaines cachent en réalité de vrais outils d’espionnage. C’est ce qu’a découvert Koi Security avec une opération appelée ShadyPanda. En gros, pendant sept ans, 145 extensions ont été modifiées pour récupérer les données perso et l’historique de navigation de millions de gens. Et tout ça depuis les stores officiels de Google et Microsoft, ce qui pose quand même question sur leurs contrôles…
À partir de 2018, les premières extensions liées à ShadyPanda arrivent sur le marché. Elles avaient l’air totalement normales : bien notées, utiles, rien de suspect.
Puis en 2023, les premières dérives apparaissent : certaines extensions se mettent à modifier des liens vers Amazon, eBay ou Booking pour toucher des commissions. Rien de dramatique… mais c’était le début.
En 2024, ça devient beaucoup plus sérieux. Cinq extensions reçoivent une mise à jour discrète qui installe une backdoor : en gros, une porte cachée qui permet d’exécuter du code à distance.
Toutes les heures, elles récupèrent un script depuis un serveur contrôlé par ShadyPanda, avec un accès complet au navigateur.
Le pire ? Certaines extensions, comme Clean Master, étaient même marquées comme « Verified » par Google, ce qui devait normalement garantir leur fiabilité.
Du côté d’Edge, c’est encore plus inquiétant : cinq extensions publiées en 2023 par un développeur appelé Starlab Technology sont toujours disponibles, et comptent plus de 4 millions d’utilisateurs. Parmi elles, on retrouve par exemple WeTab ou Infinity New Tab.
Selon Koi Security, ces extensions collectent l’historique complet, les frappes au clavier, les clics, les cookies, et envoient tout ça vers 17 serveurs situés en Chine.
Les chercheurs ajoutent même qu’elles pourraient intégrer une backdoor à tout moment, exactement comme Clean Master.
