Les chercheurs de Socket ont repéré deux extensions VPN gratuites qui lisaient discrètement le presse-papiers de leurs utilisateurs sur Chrome et Firefox. Mots de passe, codes de double authentification, clés de portefeuilles crypto : tout ce que vous copiez pouvait filer vers les serveurs des pirates. Voici comment vérifier que vous n'êtes pas concerné, et faire le ménage au passage.
Un vrai VPN devant, un espion derrière
Sur le Chrome Web Store, l'extension s'appelle VPN Go: Free VPN. Sur le magasin d'extensions de Firefox, elle se présente sous le nom Free VPN by VPN GO. Dans les deux cas, la fonction proxy annoncée fonctionne réellement, ce qui rend la supercherie quasi impossible à repérer. Sauf que voilà, pendant que vous naviguez tranquillement, un script surveille votre presse-papiers en continu, avec une lecture toutes les 500 millisecondes environ sur Chrome et toutes les 1,5 seconde sur Firefox. Tout ce qui y transite part ensuite vers des serveurs contrôlés par les attaquants.
Une mise à jour piégée, la technique classique
Le plus retors dans cette histoire, c'est le calendrier. La version 1.0 de l'extension Chrome, publiée fin décembre, était propre et faisait son travail de VPN. Le vol de presse-papiers n'est arrivé que fin mai, avec la version 1.1, une fois les utilisateurs mis en confiance. Même mécanique côté Firefox avec la version 1.3.3. Du coup, la validation initiale des magasins d'extensions ne sert pas à grand-chose. Socket a signalé les deux extensions à Google et à Mozilla pour les faire retirer. Dieu merci, l'audience était limitée, avec 146 utilisateurs recensés sur Chrome et 3 499 sur Firefox. Mais la liste des données concernées fait mal : mots de passe, codes de double authentification, clés API, jetons OAuth, sans oublier les phrases de récupération des portefeuilles crypto, que tout le monde copie-colle un jour ou l'autre.
Comment vérifier et faire le ménage
La vérification prend trente secondes. Sur Chrome, tapez chrome://extensions dans la barre d'adresse ou passez par le menu Extensions. Sur Firefox, direction about:addons. Si l'une des deux extensions apparaît, supprimez-la tout de suite. Ensuite, considérez que tout ce que vous avez copié ces dernières semaines est compromis : changez les mots de passe concernés, révoquez les sessions actives de vos comptes sensibles et, si vous avez manipulé une phrase de récupération crypto, déplacez vos fonds sans attendre. Un gestionnaire de mots de passe avec remplissage automatique limite d'ailleurs ce risque, puisque vos identifiants ne passent plus par le presse-papiers.
On en dit quoi ?
3 645 victimes en tout, ce n'est pas la fuite du siècle. Le procédé, par contre, pose un vrai problème : une extension propre au moment de la validation, qui devient malveillante des mois plus tard via une banale mise à jour, c'est exactement le type d'attaque que les contrôles de Google et de Mozilla laissent passer. Et le presse-papiers est un angle mort auquel personne ne pense. Un VPN gratuit tenu par un parfait inconnu, ça se paie toujours, et rarement en euros.