Le 15 avril 2026, l’équipe Threat Research de la société de sécurité Socket a publié un rapport décrivant une campagne coordonnée regroupant 108 extensions malveillantes publiées sur le Chrome Web Store. Ces extensions cumulent environ 20 000 installations et partagent une même infrastructure de commande et de contrôle hébergée sur le domaine cloudapi.stream. Elles sont diffusées sous cinq identités d’éditeurs distinctes (Yana Project, GameGen, SideGames, Rodeo Games et InterAlt) mais pointent toutes vers un même serveur géré sur un VPS Contabo.
Les extensions se présentent sous des déguisements variés : faux clients Telegram, assistants YouTube ou TikTok, jeux de casino, traducteurs, utilitaires divers. Des commentaires rédigés en russe apparaissent dans le code source, et les chercheurs rattachent le dispositif à un modèle « Malware as a Service » où plusieurs opérateurs louent la même infrastructure malveillante.
Quels vols de données sont opérés ?
Trois mécanismes principaux ont été observés par Socket. D’abord, 54 extensions exploitent l’API chrome.identity.getAuthToken pour récupérer l’adresse e-mail, le nom, la photo de profil, l’identifiant du compte Google et surtout le jeton OAuth2 Bearer de la victime. Ce jeton permet d’accéder aux services Google sans mot de passe tant qu’il reste valide.
Ensuite, 45 extensions installent une porte dérobée qui se déclenche au démarrage du navigateur, contacte le serveur de l’attaquant et ouvre des URL arbitraires sans interaction de l’utilisateur. Enfin, une extension particulièrement agressive capture toutes les 15 secondes les données de session Telegram Web : elle extrait le contenu du localStorage et les jetons de session pour les envoyer à l’attaquant, qui peut ensuite détourner le compte.
Quelles obligations pour les responsables de traitement ?
Les salariés utilisent le navigateur d’entreprise pour accéder à des messageries, des outils SaaS, des bases de données clients, des ERP. Une extension malveillante installée sur un poste peut exfiltrer des données personnelles couvertes par le RGPD.
L’article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles adaptées au risque. Le contrôle des extensions installées sur les navigateurs professionnels entre clairement dans ce périmètre, au même titre que l’antivirus ou le pare-feu. En cas de compromission avérée, les articles 33 et 34 du RGPD s’appliquent : notification à la CNIL dans les 72 heures et information des personnes concernées si le risque est élevé.
Pour les opérateurs couverts par la directive NIS2 transposée en droit français, la gestion des risques liés à la chaîne logicielle fait partie intégrante des obligations de gouvernance de la cybersécurité. L’installation non contrôlée d’extensions de navigateur constitue une surface d’attaque reconnue par l’ANSSI.
Conseils pratiques pour les DPO et les RSSI
Inventoriez les extensions installées sur les postes de travail au moyen des politiques de groupe sous Windows ou via les outils de gestion de flotte. Bloquez par défaut l’installation d’extensions non approuvées en activant la liste blanche du Chrome Enterprise Policy. Forcez la réinitialisation des jetons OAuth Google des utilisateurs dont le poste aurait pu être concerné, même en l’absence de preuve formelle de compromission, et demandez un changement de mot de passe.
Vérifiez l’inventaire publié par Socket pour identifier les extensions à supprimer manuellement sur les postes personnels qui se connectent aux services de l’entreprise. Sensibilisez les collaborateurs au fait qu’une extension de navigateur, même gratuite, dispose d’un niveau d’accès considérable aux informations qu’ils manipulent. Consignez cet incident dans le registre des violations potentielles tenu au titre de l’article 33 du RGPD.
