Pour plus de sept années consécutivesUne vaste opération de cybercriminalité a réussi à infiltrer les principaux navigateurs du marché, dont Google Chrome et Microsoft Edge, via des extensions apparemment inoffensives. L'ampleur de l'attaque est telle qu'on estime que… au moins 8,8 millions d'utilisateurs Des personnes du monde entier auraient pu être touchées, notamment en Europe et en Espagne.
L'enquête, menée par des spécialistes de la cybersécurité tels que l'entreprise Koi.ai, a mis au jour un réseau criminel très organisé, surnommé Spectre noirqui auraient exploité la confiance accordée aux boutiques d'extensions officielles pour diffuser des logiciels malveillants. Le plus inquiétant est que La plupart des personnes concernées n'avaient aucun soupçon. que leurs coordonnées bancaires, leurs identifiants ou leurs informations d'entreprise étaient capturés en arrière-plan.
Une attaque silencieuse qui exploitait les extensions Chrome et Edge
D'après les données révélées par les chercheurs, DarkSpectre a mis en place une infrastructure complexe pour publier et maintenir près de 300 extensions malveillantes sur les plateformes officielles Chrome, Edge, Firefox et Opera. Nombre de ces extensions étaient présentées comme des utilitaires du quotidien : gestionnaires d’onglets, traducteurs, etc. bloqueurs de publicités ou des outils pour améliorer la productivité.
L'astuce consistait à proposer d'emblée des fonctionnalités légitimes, afin d'obtenir des téléchargements et une bonne réputation. avis et évaluations positifs générés artificiellementUne fois que les extensions ont atteint un nombre significatif d'utilisateurs, les attaquants ont accéléré la propagation. mises à jour secrètes qui intégrait le code malveillant sans que l'utilisateur ne remarque aucun changement évident dans son fonctionnement.
Dans le cas des navigateurs basés sur Chromium, tels que Google Chrome et Microsoft EdgeUn réseau d'extensions de type cheval de Troie, déguisées en outils de personnalisation ou en bloqueurs de publicités, a été détecté. Au moins une phase de l'attaque a été identifiée. 30 extensions particulièrement populaires capable de voler des identifiants bancaires, des mots de passe de réseaux sociaux et des données de formulaires à remplissage automatique, en envoyant toutes ces informations en temps réel à des serveurs contrôlés par des cybercriminels.
Outre le vol de données, plusieurs de ces extensions incluaient des fonctionnalités de injection publicitaire et redirection de rechercheCela permettait l'affichage de publicités intrusives, redirigeant les utilisateurs vers des sites d'hameçonnage et multipliant les possibilités de fraude, notamment l'usurpation d'identité de pages bancaires ou de services de paiement largement utilisés en Espagne et dans le reste de l'Europe.
Plus de 8,8 millions de victimes et trois grandes campagnes coordonnées
L’ampleur de l’attaque se reflète dans les chiffres traités par les services de renseignement et les entreprises de cybersécurité : on estime que 8,8 million d'utilisateurs Ils ont été touchés dans le monde entier par les différentes campagnes associées à DarkSpectre. Pour ce faire, le groupe aurait maintenu trois lignes d'attaque distinctes, connu sous les pseudonymes de ShadyPanda, GhostPoster et Zoom Stealer.
campagne ShadyPanda C'était la plus agressive en termes de volume. À travers plus de 100 extensions malveillantes, visant principalement à manipuler le trafic du commerce électronique, aurait compromis les données de environ 5,6 millions d'utilisateursUne fois activées, ces fonctions cachées pouvaient modifier les liens sur les portails d'achat, rediriger les paiements vers des pages frauduleuses ou injecter du code supplémentaire pour continuer à suivre l'activité des utilisateurs.
Les experts soulignent que ces manœuvres ont affecté les boutiques en ligne et les services de paiement largement utilisés dans l'Union européenne, ouvrant la voie à fraude financière transfrontalière et les problèmes potentiels de conformité réglementaire pour les plateformes qui n'ont pas détecté la manipulation du trafic à temps.
La deuxième offensive majeure, appelée GhostPosterSa cible principale était les navigateurs. Firefox et Operaqui présentait des contrôles de sécurité légèrement moins stricts que Chrome et Edge. Dans ce cas, le facteur de différenciation était l'utilisation de stéganographieLes attaquants ont dissimulé du code JavaScript malveillant dans des fichiers image PNG, ce qui leur a permis d'exécuter des instructions à distance et de télécharger de nouveaux modules malveillants sans éveiller les soupçons.
L'un des exemples les plus frappants fut le clonage d'une extension de Google Traduction pour Operaqui semblait au premier abord être un outil légitime. Cependant, en coulisses, il installait une porte dérobée à l'aide d'un iframe Caché, il désactivait les protections anti-fraude du navigateur et établissait une connexion avec des serveurs précédemment liés à d'autres opérations de DarkSpectre, créant ainsi un canal d'accès permanent au système de la victime.
Zoom Stealer : Le saut dans l'espionnage des appels vidéo d'entreprise
La troisième phase de l'attaque, identifiée comme Voleur de zoom, a franchi un cap qualitatif en se concentrant entièrement sur le Environnement de travailFin 2025, les chercheurs ont détecté au moins 18 extensions spécifiques ciblant les plateformes de vidéoconférence telles que Zoom, Microsoft Teams et Google Meet, avec un impact estimé sur 2,2 million d'utilisateurs.
Ces extensions étaient présentées comme des compléments idéaux au télétravail et aux réunions à distance : elles promettaient résumer les vidéos, enregistrer les liens intéressants, générer des listes de participants ou générer un résumé automatique de chaque session. Un profil très attractif pour les entreprises espagnoles et européennes qui ont généralisé le travail hybride et à distance ces dernières années.
Après leur installation, les outils ont commencé à intercepter des informations critiques Lors des appels vidéo : liens d’accès, identifiants de réunion, mots de passe des invités et, dans certains cas, contenu partagé ou métadonnées relatives aux présentations et aux documents discutés au cours des sessions.
Grâce à ces données, les attaquants ont pu accéder à des réunions privées, dont beaucoup de haut niveau, et créer des référentiels de renseignement professionnel et commercial avec une valeur stratégique considérable. Selon les sources consultées, les communications internes concernant les plans d'affaires, les accords d'investissement, les stratégies de marché et d'autres sujets hautement sensibles pour la compétitivité des entreprises concernées ont été compromises.
Parallèlement, Zoom Stealer a profité des larges autorisations accordées aux extensions pour mener à bien exfiltration d'identifiants en temps réelCela comprenait les identifiants de connexion d'entreprise, les clés d'accès aux outils cloud et les profils professionnels qui pouvaient ensuite être réutilisés dans des attaques ciblées, telles que des campagnes d'hameçonnage hautement personnalisées contre les employés d'organisations européennes.
Impact sur les utilisateurs et les entreprises en Europe et en Espagne
L'affaire DarkSpectre a mis en lumière l'ampleur de la chaîne de confiance en matière de magasins d'extensions de cheveux Cela pourrait constituer une vulnérabilité pour les citoyens et les organisations. Bien que l'attaque ait eu une portée mondiale, les autorités européennes et les équipes d'intervention de plusieurs pays, dont l'Espagne, surveillent de près son impact sur les utilisateurs locaux.
Pour les utilisateurs individuels, les conséquences se traduisent par surveillance secrète de son activité en ligneRisques d'usurpation d'identité, de transactions non autorisées en ligne et de fuites de données personnelles susceptibles de se retrouver sur des forums clandestins. Nombre de victimes ne se rendront même pas compte qu'elles ont été ciblées, car la plupart des extensions sembleront fonctionner normalement.
Dans le monde de l'entreprise, le coup est encore plus dur. Les entreprises européennes qui fondent une grande partie de leurs opérations sur les outils cloud et la visioconférence sont confrontées à des difficultés. risques d'espionnage industrielFuites d'accords stratégiques et divulgation d'informations confidentielles concernant les clients, les fournisseurs et les partenaires. De plus, les entreprises peuvent être tenues de signaler les incidents de sécurité en vertu de réglementations telles que… Réglementation générale de la protection des données (RGPD)en tenant compte des atteintes à la réputation et des sanctions possibles.
Les premiers rapports suggèrent que le réseau criminel aurait pu construire d'authentiques entrepôts de données d'entreprise Ces informations sont obtenues par le biais de conversations privées, de documents partagés lors de réunions et d'accès non autorisés aux intranets ou aux services internes. Elles sont extrêmement précieuses pour la revente sur le marché noir, ainsi que pour des campagnes de chantage ou des pratiques de concurrence déloyale.
Les autorités européennes collaborent avec les fournisseurs de technologies pour améliorer les systèmes de détection dans les salons de coiffure spécialisés dans les extensions de cheveux et renforcer les contrôles sur l'utilisation des données personnelles. Cependant, des experts soulignent que Aucun système automatisé n'est infaillible. et que la dernière ligne de défense reste l'utilisateur et ses habitudes de sécurité.
Comment se protéger après la cyberattaque massive contre Chrome et Edge
Face à un scénario aussi long et complexe, les experts en cybersécurité recommandent une série de mesures immédiates pour réduire l'impact de l'attaque et prévenir d'autres infections, notamment parmi les utilisateurs de Chrome et Edge en Espagne et dans le reste de l'Europe.
La première étape consiste à faire un Audit complet des prolongations Ces modules complémentaires sont installés sur tous les navigateurs. Il est conseillé de les examiner un par un et de désinstaller ceux qui ne sont pas reconnus, qui ne sont pas utilisés régulièrement ou qui ne proviennent pas d'un développeur de confiance. En cas de doute, il est préférable de les désinstaller et de les réinstaller uniquement à partir du site officiel du fournisseur, si cela s'avère absolument nécessaire.
Il est également essentiel de vérifier que le navigateur est mis à jour vers la dernière version disponibleGoogle et Microsoft ont tous deux intégré des correctifs pour bloquer certaines des techniques utilisées par DarkSpectre ; les versions les plus récentes incluent donc des améliorations spécifiques dans la détection des comportements suspects et dans la gestion des autorisations des extensions.
Concernant les comptes en ligne, il est recommandé de modifier le mots de passe pour les services critiques (Courriel, services bancaires en ligne, réseaux sociaux, outils d'entreprise) en cas de suspicion d'utilisation d'une extension compromise. Il est conseillé d'en profiter pour utiliser des mots de passe uniques et robustes pour chaque service, idéalement avec un gestionnaire de mots de passe.
De plus, les spécialistes insistent sur l'activation de authentification à deux facteurs (2FA) Dans la mesure du possible. Ce mécanisme ajoute une couche de protection supplémentaire, de sorte que même si un attaquant obtient un mot de passe, il lui sera beaucoup plus difficile d'accéder au compte sans le code temporaire ou le deuxième élément de vérification.
Enfin, pour les organisations qui dépendent fortement de plateformes comme Zoom, Teams ou Google Meet, il est recommandé de mettre en œuvre inspections périodiques des extensions installées dans les navigateurs d'entreprise, Mettre en œuvre les politiques de sécurité qui limitent l'installation de modules complémentaires non autorisés et forment les employés à détecter les escroqueries potentielles, tant dans les extensions que dans les courriels ou les liens qui peuvent accompagner des campagnes similaires.
Tout ce qui a été découvert concernant DarkSpectre et ses campagnes ShadyPanda, GhostPoster et Zoom Stealer témoigne de l'ampleur de son influence. Les extensions de navigateur sont devenues une cible prioritaire Pour les cybercriminels, la confiance accordée aux boutiques officielles, aux fonctionnalités utiles et aux avis manipulés leur a permis de mener une attaque silencieuse pendant des années, causant des dommages considérables aux particuliers et aux entreprises. Cela nous oblige à repenser la manière dont nous installons et gérons ces extensions dans notre vie numérique quotidienne.
