Publié le 12 février 2026 à 17h48. Des extensions malveillantes pour le navigateur Chrome, se faisant passer pour des outils d’intelligence artificielle (IA), ont été découvertes et sont accusées de voler les données de navigation et d’accéder aux comptes Gmail de plus de 260 000 utilisateurs.
- Au moins 30 extensions Chrome frauduleuses ont été identifiées, collectant des données via des iframes distantes.
- Quinze de ces extensions ciblent spécifiquement les utilisateurs de Gmail, extrayant le contenu des e-mails, y compris les brouillons et les réponses.
- Les créateurs de ces extensions utilisent une technique d’évasion appelée « pulvérisation d’extension » pour maintenir leur présence sur le Chrome Web Store.
La popularité croissante des outils d’intelligence artificielle générative est exploitée par des cybercriminels pour diffuser des logiciels espions via le Chrome Web Store. Selon des recherches menées par la société de sécurité LayerX, ces extensions malveillantes se présentent comme des assistants IA utiles, mais agissent en réalité comme des portes dérobées pour l’extraction de données sensibles.
Les chercheurs ont découvert un ensemble d’extensions partageant une architecture, des autorisations et une infrastructure communes, malgré des noms et des marques différents. Certaines de ces extensions étaient même mises en avant par le Chrome Web Store, ce qui a contribué à leur large diffusion. Les acteurs malveillants utilisent une technique appelée « pulvérisation d’extension » pour contourner les mesures de sécurité et maintenir une présence continue sur la plateforme, en créant de multiples listes et identités.
Une fois installées, ces extensions injectent des iframes plein écran dans le navigateur de l’utilisateur, superposant une interface contrôlée par un tiers à chaque site web visité. Contrairement à de véritables outils d’IA, la logique et l’interface utilisateur sont chargées à distance depuis des serveurs appartenant à Tapnetic.pro, permettant aux attaquants de modifier le comportement des extensions en temps réel sans avoir à soumettre de nouvelles versions au Chrome Web Store.
Chaque extension malveillante communique avec un sous-domaine unique hébergé sur tapnetic.pro, imitant un assistant IA spécifique. Bien que le domaine principal héberge un site web marketing générique, LayerX estime qu’il sert de façade à une activité malveillante. L’analyse des requêtes a révélé un système backend unique et coordonné.
Cette architecture basée sur les iframes confère aux attaquants des capacités étendues :
- Accès complet au contenu textuel des pages web grâce à la bibliothèque de lisibilité de Mozilla.
- Reconnaissance vocale via l’API Web Speech.
- Mises à jour de l’interface utilisateur et injection de code en temps réel depuis des serveurs distants.
- Extraction discrète de données, y compris à partir de pages internes et sécurisées.
CoucheX
Surveillance des comptes Gmail
Un sous-ensemble particulièrement préoccupant de 15 extensions cible spécifiquement les utilisateurs de Gmail. Ces outils injectent des scripts directement dans mail.google.com en utilisant les événements document_start et manipulent le DOM (Document Object Model) pour extraire le contenu visible des messages. Les données collectées, y compris les conversations complètes, les brouillons et les réponses en cours de rédaction, sont ensuite transmises à l’infrastructure de l’attaquant chaque fois que l’utilisateur interagit avec des fonctionnalités telles que les résumés d’IA ou les réponses automatiques.
Pour maintenir leur persistance, ces modules Gmail utilisent des DOM MutationObservers et des boucles d’interrogation pour survivre aux modifications de l’interface utilisateur. Ils imitent des fonctionnalités de productivité légitimes tout en siphonant discrètement le contenu des communications sensibles vers des serveurs tiers.
LayerX a également observé des tentatives actives pour échapper à la détection et au retrait des extensions. Par exemple, l’extension « Gemini AI Sidebar » a été supprimée du Chrome Web Store le 6 février 2025, mais une copie identique a été republiée deux semaines plus tard sous un nouvel identifiant.
Les extensions les plus téléchargées impliquées dans cette campagne sont les suivantes :
- Assistant IA – (nlhpidbjmmffhoogcennoiopekbiglbp) – 50 000 installations
- Barre latérale Gemini AI – (fppbiomdkfbhgjjdmojlogeceejinadg) – 80 000 installations
- Barre latérale IA (retéléchargement) – (gghdfkafnhfpaooiolhncejnlgglhkhe) – 50 000 installations
- Barre latérale ChatGPT – (llojfncgbabajmdglnkbhmiebiinohek) – 10 000 installations
- Google Gémeaux – (fdlagfnfaheppaigholhoojabfaapnhb) – 7 000 installations
- ChatGBT – (pgfibniplgcnccdnkhblpmmlfodijppg) – 1 000 installations
- Demandez aux Gémeaux – (gnaekhndaddbimfllbgmecjijbbfpabc) – 1 000 installations
- Discussion en profondeur – (gohgeedemmaohocbaccllpkabadoogpl) – 1 000 installations
- ChatGPT Traduire – (acaeafediijmccnjlokgcdiojiljfpbe) – 30 000 installations
- J’ai GPT – (kblengdlefjpjkekanpoidgoghdngdgl) – 20 000 installations
- Traduction ChatGPT – (idhknpoceajhnjokpnbicildeoligdgh) – 1 000 installations
- Chat GPT pour Gmail – (fpmkabpaklbhbhegegapfkenkmpipick) – 1 000 installations
Les utilisateurs ayant installé l’une des 30 extensions mentionnées dans le rapport de LayerX sont fortement conseillés de la supprimer immédiatement, de réinitialiser leur mot de passe et de considérer leurs communications Gmail comme potentiellement compromises. Pour plus d’informations, consultez le rapport complet de LayerX.