108 extensions Chrome volent vos données Google et Telegram

Un collaborateur installe une extension Chrome pour "booster sa productivité" ou "améliorer l'orthographe" de ses emails. Anodin ? Pas vraiment. Des chercheurs en sécurité ont récemment identifié 108 extensions Chrome malveillantes, téléchargées par plus de 20 000 utilisateurs professionnels, capables de voler silencieusement les identifiants Google Workspace et les sessions Telegram. Aucune alerte, aucun ralentissement visible. Les données partent dans l'ombre, pendant que l'employé travaille normalement. Si vous dirigez une PME, cette menace vous concerne directement — et elle est probablement déjà dans votre parc informatique.

Comment une extension Chrome peut vider vos comptes professionnels

Une extension Chrome, c'est un petit programme qui s'intègre à votre navigateur web pour ajouter des fonctionnalités : corriger vos textes, bloquer des publicités, capturer des captures d'écran, etc. Le problème, c'est que pour fonctionner, ces extensions demandent des autorisations d'accès à votre navigateur. Et certaines en profitent. Les 108 extensions identifiées utilisaient ces autorisations pour intercepter les "cookies" — comprenez : les jetons d'identification qui maintiennent vos sessions ouvertes sur Google et Telegram. En volant ces cookies, un attaquant peut se connecter à vos comptes sans connaître votre mot de passe, et même sans déclencher votre double authentification (le fameux code SMS). Résultat concret pour une PME : accès à tous vos emails Google Workspace, vos documents Google Drive, vos échanges Telegram professionnels. Et cela, potentiellement pendant des semaines avant que quiconque ne s'en aperçoive.

Pourquoi vos collaborateurs installent ces extensions sans mauvaise intention

La plupart de ces extensions malveillantes ne se présentent pas comme dangereuses. Elles imitent des outils légitimes et très populaires : assistants d'écriture, outils de traduction, gestionnaires d'onglets, extensions de téléchargement vidéo. Elles sont disponibles sur le Chrome Web Store officiel de Google, ce qui donne une fausse impression de sécurité. Un employé qui cherche à travailler plus vite installera l'une de ces extensions en quelques secondes, sans se douter de rien. C'est d'autant plus risqué dans les PME, où il n'existe souvent pas de politique claire sur les installations autorisées, et où les postes de travail ne sont pas supervisés par un service informatique dédié. Dans ce contexte, la sécurité du navigateur PME repose entièrement sur la vigilance individuelle de chaque salarié — une ligne de défense notoirement fragile.

Ce que risquent concrètement votre entreprise et vos clients

Le vol de données Google Workspace ne se limite pas à la lecture de quelques emails. Un accès non autorisé à votre espace Google peut permettre à un attaquant de consulter vos devis, vos contrats, vos coordonnées clients, vos données RH ou encore vos informations bancaires partagées par email. Il peut aussi se faire passer pour vous auprès de vos clients ou fournisseurs pour détourner des paiements — une technique appelée "fraude au président" ou "BEC". Côté Telegram, les messageries professionnelles contiennent souvent des échanges sensibles, des accès à des outils internes, voire des codes d'authentification reçus par message. Une fois ces données entre de mauvaises mains, les conséquences vont de la perte financière directe à l'atteinte à la réputation, en passant par des obligations légales de notification à la CNIL en cas de violation de données personnelles. Pour une PME, le coût moyen d'un incident cyber dépasse 50 000 euros, selon les dernières études françaises.

Ce que vous pouvez faire dès maintenant

1. Auditez les extensions installées sur vos postes. Demandez à chaque collaborateur d'ouvrir Chrome, de taper "chrome://extensions" dans la barre d'adresse, et de vous lister toutes les extensions actives. Toute extension que personne ne reconnaît ou dont l'utilité n'est pas claire doit être supprimée immédiatement.

2. Appliquez la règle du "zéro extension non approuvée". Mettez en place une règle simple : aucune extension ne peut être installée sans validation préalable. Communiquez-la par écrit à vos équipes. Ce n'est pas une question de confiance, c'est une question de sécurité collective.

3. Révoquez et renouvelez les sessions Google suspectes. Rendez-vous dans les paramètres de sécurité de votre compte Google Workspace (admin.google.com), consultez les connexions actives et déconnectez toutes les sessions inconnues ou inhabituelles pour l'ensemble de vos utilisateurs.

4. Activez la double authentification sur tous les comptes critiques. Si ce n'est pas encore fait, c'est la priorité absolue. Même si un attaquant vole un cookie, certaines configurations renforcées de Google peuvent bloquer les connexions suspectes depuis de nouveaux appareils.

5. Faites appel à un prestataire pour un audit rapide. Un expert en cybersécurité peut analyser l'ensemble de votre parc en quelques heures et identifier les risques réels. Beaucoup de cabinets proposent des audits accessibles aux PME à partir de quelques centaines d'euros — un investissement largement inférieur au coût d'un incident.