Une enquête menée par la société de cybersécurité Socket a révélé une campagne de spam massive utilisant 131 extensions frauduleuses de Google Chrome pour automatiser l’envoi de messages sur WhatsApp Web, affectant plus de 20 000 utilisateurs dans le monde. L’opération aurait été active pendant au moins neuf mois avant d’être démantelée.
Des extensions déguisées en outils juridiques
Selon le rapport, les extensions étaient présentées comme des solutions de gestion de la relation client (CRM) ou de gestion des contacts pour WhatsApp, promettant d’améliorer les ventes et la productivité. Sous des noms comme YouSeller, Botflow ou ZapVende, ils cachaient leur véritable fonction : injecter du code directement dans WhatsApp Web pour envoyer des messages massifs sans le consentement de l’utilisateur et échapper aux systèmes anti-spam de la plateforme.
Un modèle économique lucratif
Socket précise que toutes les extensions partageaient la même base de code et provenaient de la société brésilienne DBX Tecnologia, qui proposait un programme de revendeur en marque blanche. Les affiliés ont payé environ 2 000 euros d’avance pour personnaliser l’extension avec leur propre nom et logo, avec la promesse de revenus mensuels compris entre 5 000 et 15 000 euros.
« L’objectif est de maintenir des campagnes massives tout en contournant les systèmes anti-spam », a expliqué Kirill Boychenko, chercheur en sécurité chez Socket.
Comment la fraude a fonctionné
Les extensions intégrées aux scripts Web WhatsApp légitimes, utilisant des fonctions internes pour automatiser l’envoi de messages. Les utilisateurs peuvent configurer des intervalles, des pauses et des tailles de lots pour éviter les plantages. DBX Tecnologia a même publié des tutoriels sur YouTube expliquant comment ajuster ces paramètres pour éviter d’être détecté par WhatsApp.
Risques liés à la confidentialité
Bien qu’il ne s’agisse pas d’un malware au sens strict du terme, les extensions présentaient un risque sérieux pour la vie privée. En injectant du code dans WhatsApp Web, ils pourraient lire les messages, contrôler les actions des utilisateurs et même accéder à des conversations privées et à des données personnelles.
Ce que les utilisateurs doivent faire
Google a déjà supprimé les extensions du Chrome Web Store, mais les experts préviennent qu’elles pourraient toujours être actives dans les navigateurs de nombreux utilisateurs. Socket recommande :
- Examinez les extensions installées sur chrome://extensions.
- Supprimez tous les outils suspects, notamment ceux liés à WhatsApp.
- Méfiez-vous des extensions qui demandent des autorisations excessives ou promettent de « booster » des services populaires.
Être dans le magasin ne garantit pas la sécurité
Socket rappelle que la présence d’une application ou d’une extension dans le Chrome Web Store ou dans tout autre magasin ne garantit pas sa fiabilité. Les experts conseillent de revoir périodiquement les extensions installées et de toujours maintenir une attitude critique envers les outils qui interagissent avec les services de messagerie.