Une extension chrome star détourne un million de pcs sans que vous vous en aperceviez

Publié le 30/03/2026 23:19 dans technologie Elise Colette

chrome vient de décapiter « Save image as JPG, PNG », l’extension téléchargée plus d’un million de fois par les rédactions, agences et studios. Un clic droit, une image convertie, un workflow sauvé : la promesse faisait le café. Derrière, le code s’était mué en machine à cash : cookie stuffing, liens d’affiliation trafiqués, 578 sites piégés. Google a rayé l’outil de la Chrome Web Store et diffuse désormais l’avertissement rouge « contient un logiciel malveillant ».

Le changement de propriétaire qui a tout fait basculer

Juillet 2024, l’éditeur Image4Tools cède l’extension à une structure opaque. Les mises à jour reprennent, discrètes. Les permissions, elles, s’élargissent : lecture et modification des données sur tous les sites. Le 6 août, la première redirection affiliée est enregistrée par l’extension Consent Manipulation Scanner de l’Université de Bonn. En neuf mois, 1,2 million d’utilisateurs deviennent des vaches à lait. Les cookies Amazon, AliExpress, Booking, Shein et Cdiscount sont surchargés de tags ; chaque achat génère une commission détournée sans que la bannière « extension partenaire » apparaisse jamais.

Microsoft, plus réactive, retire la version Edge dès février 2025. Chrome attend mars 2026. Entre-temps, les boutiques en ligne perçoivent des taux de rebond anormaux ; certaines équipes marketing constataient des ventes « fantômes » dont elles ne retrouvaient pas la source. Le manque à gagner : plusieurs millions d’euros, estiment les régies publicitaires consultées.

Comment vérifier si vous êtes concerné et nettoyer les traces

Comment vérifier si vous êtes concerné et nettoyer les traces

Ouvrez chrome://extensions, repérez « Save image as JPG, PNG » et cliquez sur Supprimer. Ensuite, videz cookies et cache : Ctrl+Maj+Suppr puis « Images et fichiers en cache » et « Cookies et autres données de site ». Sur Mac, remplacez Ctrl par Cmd. Relancez le navigateur. Aucun malware persistant n’est détecté, mais les identifiants de session ont fuité ; changez les mots de passe des places de marché si vous avez acheté récemment.

Alternatives ? Save image as PNG (50 000 utilisateurs, code ouvert), Imageye ou le bon vieux Right-Click Save. Aucune ne prétend convertir en un clic, mais elles ne vous transformeront pas en relais de ponzi non plus.

La leçon : la fonction la plus anodine peut devenir une taupe d’or. La prochaine extension miracle, celle qui promet de « télécharger 100 images à la fois » ou de « convertir le WebP sans perte », lira peut-être déjà vos factures avant vous. Google n’interdit rien à l’avance ; il réagit quand le mal est fait. Le million d’utilisateurs frappés l’apprend à ses dépens : sur le Web, la gratuité a un coût, il est juste caché dans la ligne de code que vous n’avez pas regardée.