Chrome : pourquoi Google ne parvient toujours pas à éradiquer les extensions malveillantes

Le scénario se répète. Un développeur publie une extension fonctionnelle, l’entretient pendant des mois, accumule des avis positifs et des centaines de milliers d’installations. Puis, à un moment choisi, il pousse une mise à jour qui introduit un code malveillant via le système officiel d’auto-update de Chrome.

Nous rapportions en décembre 2025 le cas de l’opération ShadyPanda, active depuis 2018, qui a transformé 4,3 millions de navigateurs Chrome et Edge en mouchards après des années de comportement irréprochable. Certaines extensions, comme Clean Master, avaient même décroché un badge de confiance du store avant que Google ne finisse par les retirer.

Cette stratégie fonctionne pour deux raisons. Une extension ancienne et bien notée inspire une confiance quasi-automatique à l’utilisateur. Et Google ne désinstalle pas automatiquement les modules de Chrome après leur retrait du store. L’utilisateur doit le faire manuellement, et la plupart des internautes ne s’en donnent pas la peine. Encore faut-il qu’ils soient au courant…