Des attaquants ont tenté de voler des données d’utilisateurs à l’aide de fausses extensions d’IA dans le Chrome Web Store.
Plus de trente extensions d’IA à l’apparence inoffensive dans le Web Store de Google Chrome s’avèrent permettre le vol de données à grande échelle et ont déjà été installées par au moins 260 000 utilisateurs au total.
Faux assistants d’IA
Le chercheur en sécurité LayerX Security a découvert la campagne, baptisée AiFrame. Les extensions se font passer pour des assistants d’IA ou des intégrations avec des chatbots populaires tels que ChatGPT, Claude, Gemini et Grok. En pratique, elles partagent toutes la même base de code et communiquent avec une infrastructure sous le domaine tapnetic[.]pro.
Les extensions utilisent un code iframe qui ressemble à une interface ordinaire, mais qui permet aux attaquants de modifier à distance les fonctionnalités sans mise à jour via le Chrome Web Store. Ils peuvent ainsi lire le contenu des pages web, y compris les données d’authentification, et les transmettre à des serveurs externes. Certaines extensions prennent même en charge la reconnaissance vocale et envoient des transcriptions.
Gmail particulièrement visé
Près de la moitié des extensions ciblent spécifiquement Gmail. Elles lisent le contenu des e-mails directement depuis le navigateur, y compris les brouillons et les conversations en cours, et les transmettent. Selon LayerX, la campagne abuse de la confiance que les utilisateurs accordent aux outils d’IA et de leur tendance à leur confier des informations sensibles.
Il est frappant de constater que plusieurs extensions sont parfois republiées sous un autre nom et sont toujours disponibles. Google n’a pas encore réagi publiquement. LayerX conseille aux utilisateurs et aux organisations de contrôler de manière critique les extensions d’IA et de consulter la liste des identifiants d’extensions connus avant d’installer quoi que ce soit.
lire aussi