Une nouvelle vague de cybersécurité met en lumière des extensions Chrome malveillantes conçues pour voler des données sensibles sur Facebook Business Manager et Meta Business Suite. Ces extensions nuisibles, installées à grande échelle, collectent des informations professionnelles confidentielles, détournent l’accès aux comptes utilisateurs et surveillent l’activité en ligne. Si vous cherchez à savoir comment se protéger des extensions Chrome piratées, ou comment identifier celles qui volent des données professionnelles sur Facebook, cet article vous dévoile tout ce qu’il faut connaître.
Une extension Chrome espionne les utilisateurs de Meta Business Suite
CL Suite : un plugin en apparence utile, mais conçu pour l’espionnage
Les chercheurs en cybersécurité ont récemment identifié une extension malveillante nommée CL Suite by @CLMasters (ID : jkphinfhmfkckkcnifhjiplhfoiefffl), publiée sur le Chrome Web Store en mars 2025. Officiellement, l’extension prétend aider à extraire des données de Meta Business Suite, supprimer les pop-ups de validation et générer des codes 2FA (authentification à deux facteurs).
En réalité, cette extension exécute un vol de données silencieux. Elle envoie des codes TOTP, des informations d’analyse, les listes de contacts issues de Business Manager et autres données sensibles vers une infrastructure contrôlée par les attaquants via le domaine getauth[.]pro. Certaines données sont même transférées vers un canal Telegram géré par le groupe malveillant.
Des permissions abusives pour contourner la confiance utilisateur
CL Suite demande un accès complet aux domaines meta.com et facebook.com. Malgré une politique de confidentialité rassurante indiquant que les données resteraient locales, le code source indique clairement une exfiltration automatique de :
- Codes secrets TOTP et codes 2FA
- Export CSV des utilisateurs de Meta Business Manager avec nom, e-mail, rôles et niveaux d’accès
- Données de configuration de paiement, comptes publicitaires liés et pages connectées
Malgré un nombre restreint d’installations (33 à la découverte), cette extension suffit pour cibler des entreprises à fort potentiel, facilitant l’espionnage ou d’autres attaques postérieures.
Des campagnes similaires ciblent d’autres services et utilisateurs
Extensions malveillantes sur VKontakte : 500 000 comptes compromis
La plateforme russe VKontakte est la cible d’une campagne massive nommée “VK Styles”. Plusieurs extensions Chrome déguisées en outils de personnalisation VK engendrent la prise de contrôle automatique des comptes utilisateurs. Parmi les fonctions observées :
- Abonnement forcé à des groupes VK contrôlés par les attaquants
- Réinitialisation mensuelle des préférences
- Manipulation de jetons CSRF pour contourner la sécurité
Les extensions malveillantes identifiées incluent : VK Styles – Themes for vk.com, VK Music – audio saver et Music Downloader – VKsaver. Le groupe derrière cette campagne, opérant sous le pseudo « 2vk » sur GitHub, utilise même des pages VK pour dissimuler les URL de charge utile.
AiFrame : 32 extensions basées sur l’IA détournent les données sensibles
Une autre campagne baptisée AiFrame exploite la popularité des assistants IA pour détourner les données utilisateur. Un total de 32 extensions annoncées comme outils d’écriture ou de traduction, comme “ChatGPT Sidebar” ou “Google Gemini”, injectent en réalité une iframe contrôlée à distance qui agit comme un proxy pour intercepter :
- Le contenu visible sur les onglets actifs
- Les conversations Gmail, y compris les réponses guidées par IA
- La transcription de la reconnaissance vocale
Ces extensions créent une passerelle directe vers des serveurs distants, violant ainsi les limites de sécurité du navigateur. Elles représentent un danger majeur pour toute personne utilisant des systèmes d’assistance par IA dans leur environnement professionnel.
Des millions d’utilisateurs touchés par des extensions qui exfiltrent l’historique de navigation
Un réseau opaque de collecte de données par 287 extensions
Une étude menée par Q Continuum révèle que 287 extensions Chrome subtilisent l’historique de navigation de plus de 37 millions d’utilisateurs. Ces données sont ensuite revendues à des courtiers spécialisés dans l’analyse comportementale, comme Similarweb. Cela représente environ 1 % de l’ensemble des utilisateurs Chrome dans le monde.
Les internautes doivent se méfier des extensions de type « productivité » ou « résumé d’article », qui souvent requièrent des permissions étendues sans justification utile. Ces comportements sont similaires à ceux étudiés dans notre livre pour apprendre à hacker, qui explique comment les acteurs malveillants conçoivent ce type de backdoors séduisants.
Recommandations pour détecter les extensions malveillantes
Face à ces risques :
- Installer exclusivement les extensions rigoureusement testées et bien notées
- Limiter leur nombre et auditer régulièrement les permissions
- Utiliser un profil distinct pour chaque activité sensible
- Mettre en œuvre une politique de liste blanche pour les extensions professionnelles dans les organisations
Pour renforcer la vigilance et développer une culture numérique défensive, la lecture d’un livre pour apprendre le hacking peut offrir des bases solides sur les méthodes utilisées par les attaquants pour manipuler les outils du quotidien.
Pour prévenir ces menaces, CyberCare propose des audits de sécurité sur vos outils numériques, incluant l’analyse des extensions installées dans vos environnements professionnels.
