Le 20 avril 2026, la société de cybersécurité LayerX Security a publié un rapport d’enquête sur une série d’extensions malveillantes déguisées en téléchargeurs de vidéos TikTok, disponibles sur le Chrome Web Store et la boutique d’extensions Microsoft Edge. Cette campagne, baptisée « StealTok », impliquerait au moins 12 extensions et aurait touché plus de 130 000 utilisateurs dans le monde.
Contexte de l’incident
Les extensions problématiques, tout en offrant la possibilité de télécharger des vidéos TikTok sans filigrane, étaient en réalité conçues pour suivre les comportements de navigation des utilisateurs, collecter des empreintes digitales de dispositifs et voler des tokens de session.
Particulièrement sournois, ces outils fonctionnaient correctement comme des applications légitimes pendant six à douze mois après leur installation, activant leurs fonctionnalités malveillantes uniquement lorsqu’ils avaient gagné la confiance d’un nombre suffisant d’utilisateurs. Cette stratégie d’infiltration a habilement exploité le processus de validation et le système de réputation des boutiques d’applications.
Méthodes techniques employed
Selon LayerX, toutes ces extensions sont des clones ou des variantes légèrement modifiées d’un même code source (architecture Manifest V3) et seraient gérées par un même acteur malveillant.
Les données qui étaient collectées ne se limitaient pas à l’historique de navigation. Des éléments tels que le fuseau horaire, la langue et le niveau de batterie étaient également collectés, générant des empreintes digitales numériques uniques permettant un suivi longitudinal à travers différentes sessions web. Il a aussi été rapporté que ces extensions enregistraient les saisies de texte et volaient des tokens de connexion.
Un autre aspect crucial était la fonctionnalité de configuration à distance, permettant aux extensions de recevoir des instructions d’un serveur externe après leur installation, rendant ainsi les fonctionnalités malveillantes invisibles lors des vérifications de sécurité inhérentes à la boutique.
Un modèle de persistance
LayerX décrit cette campagne non seulement comme un simple malware, mais comme un modèle opérationnel durable.
Le cycle utilisé par les attaquants consiste à télécharger d’abord des extensions inoffensives ou légèrement suspectes pour gagner la confiance des utilisateurs. Ensuite, via des mises à jour, ils introduisent de nouvelles fonctionnalités malveillantes. Si une extension est supprimée, ils sont capables de créer rapidement une nouvelle version sous un autre nom.
Cette approche crée un écosystème résilient où des extensions peuvent survivre après la suppression d’autres, permettant un renouvellement rapide des menaces. Au moment de l’enquête, certaines extensions avaient déjà été supprimées, mais environ 12 500 utilisateurs continuaient à les utiliser activement.
Liste des extensions identifiées
| ID de l’extension | Nom | Nombre d’installations | Navigateur | Statut actuel |
|---|---|---|---|---|
| injnjbcogjhcjhnhcbmlahgikemedbko | TikTok Downloader – Save Videos, No Watermark | 3 000 | Chrome | Actif |
| ehdkeonoccndeaggbnolijnmmeohkbpf | TikTok Video Downloader – Bulk Save | 1 000 | Chrome | Actif |
| pfpijacnpangmkfdpgodlbokpkhpkeka | Tiktok Downloader | 353 | Chrome | Actif |
| cfbgdmiobbicgjnaegnenlcgbdabkcli | TikTok Video Downloader – Save Without Watermark | 4 000 | Chrome | Actif |
| mpalaahimeigibehbocnjipjfakekfia | Mass Tiktok Video Downloader | 77 | Edge | Actif |
| kkhjihaeddnhknninbekkhaklnailngh | TikTok Video Downloader – Save Without Watermark | 9 | Edge | Actif |
| kbifpojhlkdoidmndacedmkbjopeekgl | TikTok Downloader – Save Videos, No Watermark | 47 | Edge | Actif |
| jacilgchggenbmgbfnehcegalhlgpnhf | Mass Tiktok VideoDownloader | 4 000 | Chrome | Actif |
| oaceepljpkcbcgccnmlepeofkhplkbih | Mass Tiktok Video Downloader | 30 000 | Chrome | Supprimé |
| ilcjgmjecbhpgpipmkfkibjopafbcag | TikTok Downloader – Save Videos, No Watermark | 10 000 | Chrome | Supprimé |
| kmobjdioiclamniofdnngmafbhgcniok | TikTok Video Keeper | 60 000 | Chrome | Supprimé |
| cgnbfcoeopaehocfdnkkjecibafichje | Video Downloader for Tiktok | 20 000 | Chrome | Supprimé |
Mesures à prendre immédiatement
Si vous avez installé l’une des extensions ci-dessus, il est impératif de les supprimer complètement, et non pas simplement de les désactiver.
Désactiver ces extensions peut ne pas effacer les données précédemment collectées.
Étant donné que ces extensions sont susceptibles d’enregistrer vos saisies de texte et de voler vos tokens de connexion, il est fortement recommandé de changer les mots de passe des services que vous avez utilisés durant la période d’installation, en particulier pour les courriels, banques et systèmes professionnels. Gardez également à l’esprit que vos informations de paiement et personnelles peuvent avoir été compromises.
À l’attention des départements informatiques et de sécurité des entreprises
Cette campagne souligne que « même les extensions dignes de confiance portant le badge « Featured » ne sont pas toujours fiables ». Si vous autorisez vos employés à installer des extensions pour un usage personnel sur des terminaux de travail, ils s’exposent à des risques similaires. Une réévaluation de la politique d’installation des extensions de navigateur et un inventaire des extensions installées s’imposent.
Points à retenir
- Les extensions malveillantes peuvent se masquer en offrant des fonctionnalités attractives.
- Une stratégie de « long terme » permet aux attaquants de gagner la confiance des utilisateurs avant d’activer des fonctionnalités nuisibles.
- Le suivi des utilisateurs peut se faire via des données variées et non seulement à travers l’historique de navigation.
- Les entreprises doivent renforcer leurs politiques de sécurité concernant l’utilisation d’extensions.
Cette situation interpelle sur notre rapport à la technologie dans un monde où la sécurité est chaque jour plus vulnérable. Que pouvons-nous faire pour naviguer plus sereinement tout en préservant notre vie privée ? La vigilance est essentielle, mais elle nécessite également un changement de mentalité face aux outils numériques que nous utilisons quotidiennement.