Comment une extension Chrome téléchargée plus de 100 000 fois est devenue un malware
Dans une étude, parue le 8 juillet 2025, les chercheurs de Koi Security révèlent que 18 extensions Chrome, disponibles sur Google Chrome et Microsoft Edge étaient des chevaux de Troie. Dans cette liste figure notamment le sélecteur de couleur Geco, qui comptait plus de 100 000 utilisateurs.
Amine Baba Aissa Publié le
C’est précisément sur notre confiance en ces indicateurs en ligne que se joue la campagne RedDirection, révélée le 8 juillet 2025 par les chercheurs de Koi Security. Tête d’affiche de cette vaste opération, l’application « Color Picker Geco », téléchargée plus de 100 000 fois sur Google Chrome. Un succès commercial qui n’est que la partie émergée de l’iceberg.
En tout, les chercheurs de la société israélienne ont recensé 18 extensions malveillantes sur les boutiques Google Chrome et Microsoft Edge, toutes dotées de capacités d’espionnage. Plus de 2,3 millions d’utilisateurs seraient touchés et on retrouve parmi les services proposés par ces extensions piégés toutes sortes de fonctionnalités légitimes : claviers emoji, prévisions météo, contrôleurs de vitesse vidéo, VPN, thèmes sombres, amplificateurs de volume…
Comment de tels virus ont-ils pu passer entre les mailles des vérifications Microsoft et Google ? Eh bien, parce qu’à l’origine, ils n’en étaient pas.
Une application tout à fait normale, jusque…
Les sélecteurs de couleurs permettent normalement de choisir n’importe quelle couleur sur un site web et de la copier dans le presse-papiers. Pratique pour les graphic designers ou les concepteurs d’applications ou de sites. Et cette fonction, l’outil Geco la fournissait avec brio, au point de devenir une application certifiée par Google sur le Chrome Web Store.
Seulement, voilà : tout comme 17 autres extensions, le code de Geco était initialement sain, et certains le sont restés pendant des années avant que le code malveillant ne soit introduit via des mises à jour. Une méthode visiblement efficace pour contourner les contrôles de Google et Microsoft.
Qui est concerné ?
Aucune information n’a permis d’identifier l’origine ou les motivations exactes derrière la campagne RedDirection. Ce qui inquiète surtout, c’est la discrétion de l’attaque : de nombreux utilisateurs risquent de ne jamais se rendre compte qu’ils ont été infectés.
« Pas de phishing. Pas d’ingénierie sociale. Juste des extensions de confiance, mises à jour discrètement, qui transforment des outils de productivité en malwares de surveillance », résume Idan Dardikman, auteur de l’article et CTO de Koi Security.
Alors, pour vous aider à garder une bonne hygiène numérique : si vous avez installé l’une des extensions listées ci-dessous, désinstallez-la immédiatement, effacez les données de votre navigateur et surveillez vos comptes pour détecter toute activité suspecte.
- Emoji keyboard online — copy&past your emoji.
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Color Picker, Eyedropper — Geco colorpick
- Weather
- Web Sound Equalizer
- Flash Player — games emulator
- Youtube Unblocked
- SearchGPT — ChatGPT for Search Engine
source : https://www.numerama.com/cyberguerre/2031477-comment-une-extension-chrome-telechargee-plus-de-100-000-fois-est-devenue-un-malware.html
A découvrir aussi
- IP tracking : la CNIL lance une enquête
- Michel Rocard et les logiciels libres
- Microsoft coupe les mails de la Cour Pénale Internationale, un avertissement pour tous les Européens
Inscrivez-vous au site
Soyez prévenu par email des prochaines mises à jour
Rejoignez les 65 autres membres