Des dizaines de milliers de personnes ont téléchargé ce qu'elles pensaient être des outils d'IA utiles pour leurs navigateurs, offrant ainsi aux pirates informatiques un accès direct à leurs activités en ligne les plus privées, y compris leurs courriels.
Selon LayerX, plus de 260 000 utilisateurs de Chrome ont installé au moins 30 extensions malveillantes se faisant passer pour des assistants d'intelligence artificielle. Celles-ci proposaient des fonctionnalités telles que le chat, la rédaction d'e-mails et les résumés de contenu, mais en réalité, elles aspiraient discrètement des données en arrière-plan.
Noms d'IA de confiance utilisés comme couverture
Ce n'était pas un hasard. Alors que le public adoptait avec enthousiasme les outils d'IA à des fins professionnelles et personnelles, les pirates ont profité de cet engouement pour agir discrètement. Les extensions frauduleuses prétendaient être liées à des services d'IA connus tels que ChatGPT, Claude, Gemini et Grok, des marques qui inspirent immédiatement confiance.
Bien qu'elles portaient des noms différents, affichaient des logos variés et comportaient des descriptions distinctes, les 30 extensions étaient fondamentalementdentsous leur apparence. Elles exécutaient le même code source, demandaient les mêmes autorisations étendues et acheminaient les données vers les mêmes serveurs cachés.
Les chercheurs de LayerX ont décrit cette approche comme une « diffusion massive d'extensions », consistant à inonder le Chrome Web Store de variantes quasi identiques dent d'échapper à la détection et à la suppression par les modérateurs. La stratégie s'est avérée payante : plusieurs extensions ont même été mises en avant, renforçant ainsi leur crédibilité et contribuant à l'augmentation du nombre d'installations.
Ce qui rendait ces extensions particulièrement insidieuses, c'était leur mode de fonctionnement. Au lieu d'effectuer un véritable traitement d'IA localement sur l'appareil de l'utilisateur, elles affichaient des superpositions plein écran cachées, hébergées sur des serveurs contrôlés par des attaquants, dont l'un des domaines confirmés était tapnetic.pro.
Ce système permettait aux opérateurs de modifier le comportement de l'extension à la volée, sans jamais soumettre de mises à jour au processus de validation de Google. Les utilisateurs n'avaient aucun moyen de remarquer ces changements.
Une fois activées, les extensions pouvaienttracdu texte, des titres de page et d'autres éléments de n'importe quel site visité par une personne, y compris les pages protégées nécessitant une connexion, comme les portails d'entreprise ou les comptes personnels, et tout transmettre à des serveurs distants.
Les utilisateurs de Gmail dans le collimateur
Quinze des trente extensions ciblaient spécifiquement les utilisateurs de Gmail LayerX a baptisé ce groupe le « cluster d'intégration Gmail ». Commercialisées sous différents noms et présentées pour des usages variés, ces quinze extensions partageaient toutes le même code ciblant Gmail. Ce code injectait des scripts directement dans l'interface de Gmail, capturant en boucle le texte de toutes les conversations ouvertes visibles à l'écran.
En clair, l'intégralité du contenu des e-mails, y compris les brouillons et les conversations complètes, pouvait être extraite de Gmail et envoyée aux serveurs des attaquants. Le rapport précise que l'utilisation des outils d'IA intégrés à Gmail, tels que les réponses intelligentes ou les résumés de messages, entraînait parfois une capture encore plus importante du contenu, l'envoyant hors de l'écosystème Google.
Cela s'inscrit dans une tendance plus large et croissante. LayerX a souligné qu'un mois auparavant seulement, ils avaient découvert 16 autres extensions conçues pour voler les jetons de session des ChatGPT , affectant plus de 900 000 utilisateurs. Dans un autre cas, deux extensions de barre latérale basées sur l'IA ont divulgué l'historique des conversations de DeepSeek et ChatGPT, touchant 900 000 installations supplémentaires.
Avec près de 3 milliards d'utilisateurs dans le monde pour Chrome et 2 milliards pour Gmail, l'écosystème d'extensions de ce navigateur constitue une cible particulièrement tentante pour ce type d'opération.
Toute personne craignant d'avoir été touchée peut consulter la liste des extensions malveillantes publiée par LayerX. Il suffit d'accéder à « chrome://extensions » dans votre navigateur pour examiner les éléments installés et désinstaller ceux qui vous semblent suspects. Activer la vérification en deux étapes sur vos comptes est également une mesure judicieuse à prendre dès maintenant.
Zargarov a lancé un avertissement sans détour : « À mesure que l’IA générative gagne en popularité, les experts en sécurité doivent s’attendre à une prolifération de campagnes similaires. » Ils insistent sur le fait que la solution la plus sûre consiste privilégier les fonctionnalités d’IA déjà intégrées aux applications et plateformes de confiance, plutôt que de prendre le risque d’utiliser des extensions tierces inconnues.
