En développant des extensions légitimes pour les navigateurs Chrome et Edge, ShadyPanda a réussi à obtenir la confiance des utilisateurs… Ainsi que celle de Google et Microsoft, avant de la tromper en mettant à jour lesdites extensions avec des fonctionnalités malicieuses. Cela lui a permis d’espionner 4,3 millions d’internautes. Les géants du web ont mis en place divers points de contrôle pour éviter que des applications, extensions ou autre logiciels malveillants soient mis à la disposition des utilisateurs, du moins via les magasins numériques officiels. Le risque zéro n’existant pas, les pirates informatiques rivalisent d’ingéniosité pour passer les sécurités. C’est exactement ce qui s’est passé avec 145 extensions des navigateurs Chrome et Edge d’après le rapport de Koi Security. Dans le cadre de leur enquête, les chercheurs en cybersécurité ont identifié deux opérations actives. Celles-ci impliquent une dizaine d’extensions au total, dont Clean Master. Cette dernière a permis d’enregistrer toutes les pages consultées par les victimes et de récupérer l’intégralité de l’historique. WeTab, qui cumule plus de 3 millions de téléchargements à elle seule, est également pointée du doigt. Cette dernière collectait chaque URL visitée, chaque requête et chaque clic. Le tout permettait à l’organisation ShadyPanda, basée en Chine, de récupérer les informations. Le plus inquiétant, c’est que certaines des extensions avaient été vérifiées par Google. Cette procédure garantit normalement un certain niveau de fiabilité. Comment la vigilance de la société américaine a-t-elle pu être trompée ? C’est simple, ShadyPanda a publié 20 extensions légitimes sur la boutique de Chrome et 125 sur celle de Microsoft Edge. Celles-ci ont ainsi pu passer les vérifications. Avec du temps et de bons retours, certaines sont devenues populaires et jugées fiables. C’est là que la stratégie a été mise en place. En effet, les éditeurs enregistrés, dont nuggetsno15 et rocket Zhang, n’avaient plus qu’à introduire le code malicieux par l’intermédiaire de mises à jour moins contrôlées. C’est comme cela que lesdites extensions ont piégé tout le monde. Au début, elles ajoutaient de manière passive du code pour ajouter des affiliations lors des achats. Cela permettait ainsi au groupe pirate de récupérer les revenus des commissions. Ensuite, ce dernier est allé plus loin en ajoutant d’autres fonctionnalités cachées : extraction de cookies, surveillance des recherches, récupération d’identifiants, etc. Si l’opération n’a été révélée que récemment, c’est parce que ShadyPanda a déployé les extensions à partir de 2018 et que les mises à jour malveillantes ont débuté majoritairement vers la mi-2024. Cette stratégie basée sur la patience a tout de même permis d’espionner 4,3 millions d’utilisateurs à leur insu.