Douze extensions populaires pour les navigateurs Chrome et Edge, se présentant comme de simples téléchargeurs de vidéos TikTok, ont été révélées comme étant de la spyware cachée, dotée de portes dérobées pour contrôle à distance.
La praticité d’ajouter de petits outils à son navigateur pour gérer les réseaux sociaux devient une véritable menace pour un nombre croissant d’internautes. Selon des chercheurs en sécurité de l’entreprise LayerX, une campagne coordonnée nommée « StealTok » a été mise au jour. Au moins douze extensions se cachent derrière ce label, prétendant permettre le téléchargement de vidéos TikTok, mais elles agissent en réalité comme des spywares sophistiqués, ayant déjà infecté plus de 130 000 utilisateurs. Ce constat est d’autant plus préoccupant que beaucoup de ces extensions ont fonctionné en toute discrétion pendant plusieurs mois avant de déployer des fonctions malveillantes via une mise à jour ciblée.
Le statut de la batterie comme méthode d’identification
L’efficacité de la campagne « StealTok » repose sur une stratégie pernicieuse d’infiltration. Selon le rapport de LayerX, les extensions touchées fonctionnent de manière légitime pendant une période de six à douze mois après leur installation. Ce laps de temps leur permet de gagner la confiance des utilisateurs et de recueillir des avis positifs dans les boutiques en ligne de Google Chrome et Microsoft Edge. Cet artifice vise principalement à contourner les vérifications de sécurité effectuées par les opérateurs des stores, qui ne scrutent souvent que le comportement immédiat après publication ou lors de mises à jour ponctuelles.
Une fois les fonctionnalités de spyware activées, les extensions commencent à établir un profil détaillé des victimes. Elles procèdent à un enregistrement non seulement des habitudes de navigation et des contenus téléchargés, mais aussi à l’exfiltration d’informations précises sur les appareils. Une pratique particulièrement étonnante relevée par les chercheurs est la capture du statut de la batterie, qui sert aux attaquants à mettre en œuvre le « Device Fingerprinting », permettant d’identifier les utilisateurs de manière unique à travers différentes sessions. Les outils collectent également des données sur le fuseau horaire, la langue système et l’agent utilisateur du navigateur, dressant ainsi un portrait numérique extrêmement précis de l’identité de l’utilisateur.
Campagne TikTok : certaines extensions encore disponibles dans le store de Microsoft Edge
Un point technologique marquant de cette campagne est l’intégration d’une porte dérobée pour contrôle à distance. Les extensions sont capables de récupérer à tout moment de nouvelles configurations depuis des serveurs contrôlés par les attaquants, modifiant leur comportement en temps réel. Cela permet aux responsables de la campagne d’adapter la spyware en fonction des besoins pour une exfiltration ciblée de données, l’utilisation de sessions authentifiées, ou même l’intégration des machines infectées dans des botnets. L’infrastructure derrière StealTok exploite des domaines frauduleux avec des motifs de typo-squatting tels que « tiktak » ou « trafficreqort », afin de passer inaperçue dans les journaux réseau.
Parmi les outils infectés figuraient des noms connus tels que « TikTok Video Keeper », avec à lui seul 60 000 installations, et le « Mass TikTok Video Downloader » qui comptait 30 000 utilisateurs. Bien que Google ait déjà supprimé les quatre extensions les plus populaires du Chrome Web Store, huit autres variantes demeurent actives au moment de la rédaction, y compris dans le store d’extensions de Microsoft Edge. Les chercheurs soulignent que le danger ne réside pas uniquement dans ce que ces extensions font aujourd’hui, mais aussi dans ce qu’elles pourraient potentiellement faire demain grâce à leur fonction de mise à jour dynamique.
La révélation de StealTok met en lumière une faille fondamentale dans les mécanismes de défense des navigateurs modernes. La plupart des outils de sécurité se concentrent sur la validation lors de l’installation, négligeant la surveillance en temps réel, là où des comportements malveillants se manifestent souvent après un délai de plusieurs mois. Il est donc crucial que les utilisateurs restent extrêmement prudents lors de l’installation d’extensions tierces demandant des autorisations étendues pour accéder aux données des sites web. Quiconque aurait installé l’une de ces extensions devrait la désinstaller immédiatement et revoir ses mots de passe, car les portes dérobées potentielles pourraient faciliter le vol de jetons de session.
Points à retenir
- Douze extensions se cachant derrière l’apparence de téléchargeurs TikTok sont de la spyware.
- Ces outils ont fonctionné pendant plusieurs mois avant d’activer leurs fonctionnalités malveillantes.
- Les données collectées incluent le statut de la batterie, la langue système et le fuseau horaire.
- Alerte sur la nécessité d’une vigilance accrue lors de l’installation d’extensions tierces.
- Google a retiré les versions les plus répandues, mais d’autres restent actives.
En tant qu’internautes, nous avons la responsabilité de protéger nos données et d’évaluer les risques liés à chaque extension que nous utilisons. Comment pouvons-nous, collectivement, renforcer notre vigilance face à ces menaces invisibles qui se dissimulent sous des apparences inoffensives ? La technologie doit être un allié, et non un adversaire. Cela soulève des questionnements sur la transparence des outils que nous intégrons à notre quotidien numérique.