152 extensions Chrome « Live Wallpaper » piégées : vol de données et faux trafic Google détectés

Les faits

Le 14 juin 2026, des chercheurs en sécurité ont révélé la présence de 152 extensions malveillantes du type « Live Wallpaper » sur le Chrome Web Store, la boutique officielle d'extensions du navigateur Google Chrome. Ces extensions, présentées comme des outils de personnalisation du navigateur avec des fonds d'écran animés, dissimulaient deux fonctionnalités malveillantes distinctes : la collecte secrète de données utilisateurs et la génération artificielle de trafic Google Search pour manipuler les métriques SEO. L'information a d'abord circulé via BleepingComputer avant d'être reprise par l'ensemble des sources de cybersécurité.

La découverte a résulté de l'analyse d'anomalies dans les patterns de trafic réseau de plusieurs extensions populaires. Les 152 extensions malveillantes avaient cumulé plusieurs millions d'installations combinées avant d'être signalées, certaines affichant des évaluations 4 ou 5 étoiles basées sur des avis potentiellement manipulés. La plupart avaient été publiées au cours des 12 derniers mois sous des noms d'éditeurs distincts mais présentant des similitudes structurelles dans leur code source.

Sur le plan technique, chaque extension malveillante implantait un background service worker qui s'exécutait en permanence en arrière-plan, y compris lorsque l'utilisateur n'accédait pas activement aux fonctionnalités de fond d'écran. Ce script collectait discrètement : l'historique de navigation complet (URLs visitées avec horodatages), les requêtes effectuées dans la barre d'adresse, les métadonnées des onglets ouverts, les cookies de session pour des domaines tiers spécifiques, et des données du profil Chrome (langue, fuseau horaire, résolution d'écran).

La seconde fonctionnalité malveillante consistait à simuler des clics organiques sur des résultats Google — pratique connue sous le nom de click fraud SEO. Les extensions généraient des requêtes de recherche automatiques en arrière-plan puis cliquaient algorithmiquement sur des résultats spécifiques pour faire remonter certains sites dans les classements Google. Cette manipulation lèse les annonceurs dont les budgets sont détournés et expose les utilisateurs à du contenu artificiellement promu.

Les données collectées étaient transmises à plusieurs domaines tiers enregistrés récemment (moins de 6 mois d'ancienneté), hébergés sur des infrastructures cloud distribuées entre les États-Unis, les Pays-Bas et Singapour. L'analyse des certificats TLS de ces domaines révèle des caractéristiques d'infrastructure communes, suggérant un contrôle par la même entité. Aucune attribution publique n'a été publiée à ce stade.

Ce vecteur d'attaque via extensions Chrome n'est pas nouveau. En décembre 2024, 35 extensions malveillantes avaient déjà été identifiées sur le Chrome Web Store, dont plusieurs ciblant les cookies de sessions authentifiées. La particularité de cette nouvelle vague de juin 2026 est son échelle — 152 extensions contre 35 en décembre 2024 — et son approche de camouflage : toutes proposaient une fonctionnalité réelle de fond d'écran animé, rendant la détection plus difficile pour les utilisateurs et les processus de revue automatisée de Google.

Google a été notifié par les chercheurs via une procédure de responsible disclosure. Au moment de la publication de cette actualité, Google indiquait procéder à la vérification des 152 extensions signalées en vue de leur retrait du Chrome Web Store. Le retrait effectif de l'ensemble des extensions n'était pas encore confirmé — les utilisateurs ne peuvent donc pas se fier à la disponibilité d'une extension sur le Web Store comme preuve de sa légitimité actuelle.

Les utilisateurs professionnels ayant utilisé ces extensions sur un navigateur Chrome depuis lequel ils accèdent à des applications d'entreprise (Google Workspace, Microsoft 365, VPN Web, outils internes) constituent le profil à risque le plus élevé. Les cookies de session capturés peuvent suffire à un attaquant pour usurper une session authentifiée active sans connaître le mot de passe — technique connue sous le nom de pass-the-cookie ou session hijacking. Les organisations n'ayant pas déployé de politique centralisée de gestion des extensions Chrome via Google Admin Console n'ont actuellement aucune visibilité sur leur exposition réelle.

Impact et exposition

L'impact principal touche les utilisateurs ayant installé l'une des 152 extensions identifiées. La collecte ayant pu débuter dès l'installation — dans certains cas plusieurs mois avant la découverte — le volume de données potentiellement exfiltrées par utilisateur est significatif. En environnement professionnel, tout employé ayant utilisé une extension malveillante sur un navigateur partagé avec ses accès d'entreprise constitue un vecteur de fuite de données et de compromission de session. Les organisations sans inventaire ni contrôle centralisé des extensions installées sur les postes de travail n'ont aucune visibilité sur leur exposition réelle.

Recommandations

• Supprimer immédiatement toute extension Chrome de type « Live Wallpaper » ou « Animated Background » dont l'éditeur n'est pas clairement identifiable — accéder à chrome://extensions dans la barre d'adresse pour inventorier
• Réinitialiser les sessions actives sur les services sensibles (messagerie professionnelle, outils cloud, banque en ligne) depuis les appareils où ces extensions étaient installées
• En environnement professionnel, déployer une politique de gestion des extensions via Google Admin Console pour n'autoriser que les extensions validées par le service IT
• Surveiller les alertes de connexion inhabituelles sur les comptes Google Workspace et Microsoft 365 dans les 48 à 72 heures suivantes
• Effectuer un audit des extensions Chrome sur les postes gérés via Chrome Browser Cloud Management et révoquer toute extension non référencée