Dans une étude, parue le 8 juillet 2025, les chercheurs de Koi Security révèlent que 18 extensions Chrome, disponibles sur Google Chrome et Microsoft Edge étaient des chevaux de Troie. Dans cette liste figure notamment le sélecteur de couleur Geco, qui comptait plus de 100 000 utilisateurs.

4,2/5, plus de 800 avis et un badge certifié Google, aucun risque non ? Pas si vite.

C’est précisément sur notre confiance en ces indicateurs en ligne que se joue la campagne RedDirection, révélée le 8 juillet 2025 par les chercheurs de Koi Security. Tête d’affiche de cette vaste opération, l’application « Color Picker Geco », téléchargée plus de 100 000 fois sur Google Chrome. Un succès commercial qui n’est que la partie émergée de l’iceberg.

En tout, les chercheurs de la société israélienne ont recensé 18 extensions malveillantes sur les boutiques Google Chrome et Microsoft Edge, toutes dotées de capacités d’espionnage. Plus de 2,3 millions d’utilisateurs seraient touchés et on retrouve parmi les services proposés par ces extensions piégés toutes sortes de fonctionnalités légitimes : claviers emoji, prévisions météo, contrôleurs de vitesse vidéo, VPN, thèmes sombres, amplificateurs de volume…

bitdefender-logo
BIT BOX 3
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Voici comment protéger ma vie privée

Comment de tels virus ont-ils pu passer entre les mailles des vérifications Microsoft et Google ? Eh bien, parce qu’à l’origine, ils n’en étaient pas.

L'application Color Picker Tool de Geco a depuis été retirée de Chrome Web Store et Microsoft Edge // Source : Koi Security
L’application Colour Picker Tool de Geco a depuis été retirée de Chrome Web Store et Microsoft Edge // Source : Koi Security

Une application tout à fait normale, jusque…

Les sélecteurs de couleurs permettent normalement de choisir n’importe quelle couleur sur un site web et de la copier dans le presse-papiers. Pratique pour les graphic designers ou les concepteurs d’applications ou de sites. Et cette fonction, l’outil Geco la fournissait avec brio, au point de devenir une application certifiée par Google sur le Chrome Web Store.

Seulement, voilà : tout comme 17 autres extensions, le code de Geco était initialement sain, et certains le sont restés pendant des années avant que le code malveillant ne soit introduit via des mises à jour. Une méthode visiblement efficace pour contourner les contrôles de Google et Microsoft.

Dans ses dernières versions, le sélecteur de couleur devenu malware était capable de surveiller en temps réel la navigation de l’utilisateur. À chaque page visitée, l’extension capturait l’URL et l’associait à un identifiant unique, puis transmettait ces informations à un serveur de commande et contrôle (C2) contrôlé par les attaquants. Ce serveur pouvait ensuite envoyer des instructions à l’extension, lui ordonnant par exemple de rediriger discrètement l’utilisateur vers des sites malveillants, sans intervention de sa part. Une véritable backdoor, qui permettait aux cybercriminels de prendre le contrôle à distance de certains comportements du navigateur, rendant l’attaque à la fois furtive et persistante.

Pour aller plus loin
une comparateur meilleur gestionnaire mdp numerama
Quel est le meilleur gestionnaire de mots de passe en 2025 ?

Qui est concerné ?

Aucune information n’a permis d’identifier l’origine ou les motivations exactes derrière la campagne RedDirection. Ce qui inquiète surtout, c’est la discrétion de l’attaque : de nombreux utilisateurs risquent de ne jamais se rendre compte qu’ils ont été infectés.

« Pas de phishing. Pas d’ingénierie sociale. Juste des extensions de confiance, mises à jour discrètement, qui transforment des outils de productivité en malwares de surveillance », résume Idan Dardikman, auteur de l’article et CTO de Koi Security.

Alors, pour vous aider à garder une bonne hygiène numérique : si vous avez installé l’une des extensions listées ci-dessous, désinstallez-la immédiatement, effacez les données de votre navigateur et surveillez vos comptes pour détecter toute activité suspecte.

  • Emoji keyboard online — copy&past your emoji.
  • Free Weather Forecast
  • Video Speed Controller — Video manager
  • Unlock Discord — VPN Proxy to Unblock Discord Anywhere
  • Dark Theme — Dark Reader for Chrome
  • Volume Max — Ultimate Sound Booster
  • Unblock TikTok — Seamless Access with One-Click Proxy
  • Unlock YouTube VPN
  • Color Picker, Eyedropper — Geco colorpick
  • Weather
  • Web Sound Equalizer
  • Flash Player — games emulator
  • Youtube Unblocked
  • SearchGPT — ChatGPT for Search Engine
une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !