Cent huit extensions Chrome malveillantes ont été découvertes sur le Chrome Web Store, exposant les données Google et Telegram de quelque 20 000 utilisateurs à travers le monde. La campagne, coordonnée et sophistiquée, a été révélée le 14 avril 2026.
La menace est d’une ampleur rare. Des chercheurs en sécurité informatique ont identifié 108 extensions malveillantes publiées sur le Chrome Web Store sous cinq identités de développeurs distinctes — une stratégie délibérée pour brouiller les pistes et échapper aux systèmes de détection automatisée de Google.
Vos comptes Google et Telegram dans le viseur
Sur les 108 extensions incriminées, 54 ciblaient spécifiquement les comptes Google via des failles OAuth2, permettant aux attaquants de s’emparer de l’identité numérique des victimes sans connaître leur mot de passe. Quarante-cinq autres intégraient des portes dérobées capables d’ouvrir des URLs arbitraires à chaque démarrage du navigateur.
Une extension particulièrement invasive allait encore plus loin : elle capturait la session active de Telegram Web toutes les 15 secondes, offrant aux pirates un accès complet aux conversations, contacts et fichiers partagés — sans code de vérification ni double authentification.
Une infrastructure partagée, des empreintes russes
L’analyse technique révèle que la totalité des extensions partageaient la même infrastructure de commande, hébergée à l’adresse IP 144.126.135.238. Des commentaires rédigés en langue russe ont été retrouvés dans le code source de plusieurs extensions, bien qu’aucune attribution officielle n’ait été établie à ce stade.
Cette campagne illustre une tendance préoccupante : l’exploitation des extensions de navigateur comme vecteur d’attaque principal, alors que des millions d’utilisateurs en dépendent chaque jour pour leur productivité professionnelle.
Ce n’est pas la première fois que des utilisateurs français sont exposés à ce type de menace. Faille Android : 50 millions d’utilisateurs avait déjà mis en lumière la fragilité des applications mobiles face aux attaques ciblées.
Que faire si vous êtes concerné ?
Les experts en cybersécurité recommandent de désinstaller immédiatement toute extension Chrome non indispensable et non vérifiée. Il est également conseillé de déconnecter toutes les sessions Telegram Web actives depuis l’application mobile, et de vérifier les accès OAuth accordés à des applications tierces via votre compte Google.
Google n’avait pas encore commenté officiellement les retraits au moment de la publication de cet article. La vigilance reste de mise face à la prolifération d’outils malveillants déguisés en extensions légitimes.
