En savoir plus
Une enquête révélatrice
Récemment, une enquête a mis en lumière un problème inquiétant : certaines extensions de navigateur se présentent comme des assistants d’IA sympathiques, tout en collectant discrètement les conversations des utilisateurs avec des modèles de langage avancés.
Des chercheurs du Microsoft Defender Security Research Team ont signalé que ces extensions malveillantes, conçues pour ressembler à de véritables outils d’assistance en IA, ont déjà accumulé une grande quantité de données utilisateurs via des interactions avec des plateformes AI populaires.
Une campagne alarmante
D’après le blog de sécurité de Microsoft, cette campagne a déjà enregistré environ 900 000 installations via des navigateurs basés sur Chrome. Des systèmes de télémétrie de Microsoft révèlent également que cette activité touche des environnements d’entreprise, avec des implications sur plus de 20 000 locataires d’entreprise, où les utilisateurs interagissent fréquemment avec des outils d’IA en utilisant des informations sensibles.
Ce qui est en jeu
Les extensions malveillantes ciblent principalement les discussions avec des services d’IA comme ChatGPT et DeepSeek. Une fois installées, elles peuvent enregistrer l’activité de navigation ainsi que des parties des conversations en cours avec ces services. Microsoft a souligné que les informations capturées comprennent à la fois les prompts, les réponses des discussions et les URL complètes des pages visitées.
Cette collecte de données met les organisations face à un risque accru de fuite d’informations sensibles. Selon l’entreprise, les extensions peuvent recueillir du contenu tel que du code propriétaire, des flux de travail internes, des discussions stratégiques et d’autres données confidentielles.
Comment fonctionne l’attaque
Le schéma de l’attaque repose sur une tendance croissante : l’ajout d’assistants de chat IA comme extensions de navigateur. Les acteurs menaçants ont analysé des outils légitimes pour imiter leur image de marque et leur comportement. Ces versions malveillantes sont alors publiées sur le Chrome Web Store avec des noms et descriptions très similaires à de véritables outils de productivité. Étant donné que des navigateurs comme Google Chrome et Microsoft Edge utilisent tous deux l’architecture Chromium, une unique liste d’extensions peut facilement se diffuser sur les deux plateformes.
Une fois installée, l’extension commence à espionner les activités de l’utilisateur en arrière-plan. Le code enregistre les sites visités et des segments des messages de discussion créés lors des interactions avec les plateformes d’IA. Microsoft a indiqué que l’extension fonctionne comme un collecteur de données discret.
Les données collectées sont précédemment stockées localement puis envoyées périodiquement à des serveurs contrôlés par les attaquants. Selon l’analyse de Microsoft, l’extension envoie ces informations via des requêtes HTTPS vers des domaines comme deepaichats[.]com et chatsaigpt[.]com. En raison des protocoles web standards utilisés pour cette communication, le trafic peut sembler comparable à une activité de navigation habituelle. L’objectif des attaquants est de surveiller à long terme plutôt que d’interrompre immédiatement les activités.
Persistance par comportement normal des navigateurs
Contrairement à de nombreuses formes de malware, l’extension n’a pas besoin de techniques de persistance sophistiquées. Une fois installée, elle agit comme n’importe quelle extension de navigateur, se rechargeant automatiquement au démarrage du navigateur. La mémoire locale conserve les identifiants de session et les données à transmettre, permettant ainsi à l’extension de continuer à collecter des informations sur plusieurs sessions. Ces découvertes mettent en lumière un défi de sécurité croissant en lien avec l’adoption rapide des outils d’IA.
Les employés ont souvent tendance à copier des codes, des notes internes ou des informations commerciales dans des services de chat AI, rendant ces échanges des cibles de choix pour les attaquants. Une fois qu’une extension malveillante a accès au contenu des pages web, elle peut également saisir cette information directement depuis l’interface du navigateur. Cela signifie que des informations sensibles échangées avec des outils d’IA peuvent être compromises sans que les utilisateurs en aient conscience.
Mesures recommandées pour les organisations
Les équipes de sécurité sont donc incitées à passer en revue les extensions de navigateur installées sur les appareils d’entreprise et à éliminer celles qui sont non vérifiées ou inutiles.
Les chercheurs de Microsoft suggèrent plusieurs mesures de protection, telles que :
- Auditer toutes les extensions de navigateur utilisées dans l’organisation.
- Limiter les installations d’extensions selon des politiques spécifiques.
- Surveiller le trafic réseau pour détecter les connexions vers des domaines malveillants connus.
- Activer les protections de navigateur comme SmartScreen et le filtrage réseau.
- Former les employés sur les risques liés à l’installation d’outils d’IA non vérifiés.
Les organisations devraient également établir des politiques claires sur le partage des données sensibles avec les plateformes d’IA.
FAQ
Qu’est-ce qu’une extension de navigateur malveillante?
Une extension malveillante est un logiciel conçu pour se comporter comme une extension normale, mais qui collecte des informations à l’insu de l’utilisateur.
Comment savoir si une extension est sécurisée?
Vous devriez toujours vérifier l’éditeur, lire les avis et rechercher des mentions dans des articles de sécurité.
Quelles données sensibles sont particulièrement vulnérables?
Les discussions contenant des codes, des stratégies internes et d’autres informations commerciales sont particulièrement à risque.
Quels signes peuvent indiquer une infection par une extension malveillante?
Un ralentissement des performances du navigateur, des publicités intrusives ou des redirections inhabituelles peuvent être des signes d’infection.
Comment protéger mes données lorsqu’utilisant des outils d’IA?
Évitez de partager des informations sensibles et utilisez des extensions sécurisées et vérifiées.
