Blog · Alerte sécurité · Mis à jour le 14 juillet 2026

Supprimer le malware ModHeader et nettoyer ce qu'il a laissé derrière lui

Début juillet 2026, Google a signalé ModHeader v7.0.18 comme malware et Microsoft l'a retiré de la boutique Edge, après que des chercheurs ont rapporté qu'il embarquait un SDK de collecte de données caché. Voici une checklist de nettoyage sobre et factuelle : vérifier si vous êtes concerné, désinstaller, effacer les résidus sur Mac et Windows, et sécuriser ce à quoi l'extension a pu toucher.

Ce guide est écrit pour vous être utile, que vous finissiez par adopter VibeHeader ou non. Tout ce qui est dit ci-dessous sur ModHeader est attribué à Google, Microsoft et aux chercheurs indépendants cités dans les sources — rien n'est de notre propre analyse. Si Chrome ou Edge a déjà désactivé l'extension chez vous, c'est le signe que le nettoyage ci-dessous vous concerne.

Pressé ? L'essentiel tient en quatre gestes, dans l'ordre (détails plus bas) :

  1. Supprimez l'extension de Chrome et Edge.
  2. Effacez ses dossiers de stockage résiduels sur Mac ou Windows.
  3. Bloquez api.stanfordstudies.com dans votre DNS ou votre fichier hosts.
  4. Renouvelez tous les secrets que vous y avez collés.

Ce qui a été rapporté (version 60 secondes)

Si ModHeader est encore installé chez vous, la recommandation générale est de le supprimer. Voici comment le faire proprement.

Étape 1 — Vérifier si vous êtes concerné

Ouvrez chrome://extensions (et edge://extensions si vous utilisez Edge), puis activez le mode développeur pour afficher les numéros de version.

Si le contrôle de sécurité de Chrome affiche déjà « Cette extension contient un logiciel malveillant », vous êtes au bon endroit — ne vous contentez pas de fermer l'avertissement, allez au bout du nettoyage ci-dessous. Voici à quoi ressemble l'avertissement en question :

Le contrôle de sécurité des extensions Chrome signale « ModHeader - Modify HTTP headers » comme contenant un logiciel malveillant et recommande sa suppression
Le contrôle de sécurité de Chrome signale ModHeader comme malware et recommande sa suppression.

Étape 2 — Supprimer l'extension (Chrome et Edge)

  1. Ouvrez chrome://extensions → trouvez ModHeader → cliquez sur Supprimer → confirmez. Refaites la même chose dans edge://extensions.
  2. Si le navigateur l'a déjà désactivée, laissez-la désactivée et cliquez quand même sur Supprimer — la désactivation empêche l'exécution mais n'efface pas les données en cache.
  3. Répétez l'opération dans chaque profil de navigateur où elle était installée (chaque profil Chrome est indépendant).

Étape 3 — Supprimer les données locales résiduelles

La désinstallation efface généralement l'essentiel, mais les données en cache de l'extension — dont les chercheurs rapportent qu'elles pouvaient largement dépasser 100 Mo d'en-têtes de requête/réponse stockés, incluant potentiellement des tokens et des cookies — subsistent parfois. Par prudence, supprimez ceux de ces dossiers qui existent encore. Remplacez Default par le nom réel de votre dossier de profil (vérifiez aussi Profile 1, Profile 2, …).

macOS

Sous ~/Library/Application Support/Google/Chrome/ (et l'équivalent Edge sous Microsoft Edge) :

Windows

Sous %LOCALAPPDATA%\Google\Chrome\User Data\ (Edge : %LOCALAPPDATA%\Microsoft\Edge\User Data\) :

Quittez complètement le navigateur avant de supprimer ces dossiers, sinon les fichiers risquent d'être verrouillés.

💡 Astuce : confiez le ratissage à un agent de codage. Si vous utilisez un agent comme Claude Code ou Codex, collez-lui l'URL de ce guide (ou la liste de dossiers ci-dessus) et demandez-lui de localiser puis supprimer les dossiers résiduels de ModHeader dans tous vos profils de navigateur — particulièrement utile quand vous avez plusieurs profils et craignez d'en oublier un. Deux précautions : quittez d'abord complètement le navigateur, et exigez que l'agent liste ce qu'il a trouvé et attende votre confirmation avant de supprimer quoi que ce soit.

Étape 4 — Bloquer le domaine d'exfiltration

Bloquez le collecteur et journalisez les tentatives, pour qu'aucune donnée ne puisse sortir, même depuis une copie en cache oubliée :

Étape 5 — Renouveler tout ce que vous lui avez confié de sensible

Puisque l'extension pouvait lire et stocker les en-têtes qui transitaient par votre navigateur, considérez comme potentiellement exposé tout ce que vous y colliez régulièrement, et régénérez-le :

C'est une précaution, vu l'état dormant rapporté — mais renouveler un token coûte bien moins cher que de parier que tout va bien.

Indicateurs de compromission (pour les équipes sécurité / IT)

Recherchez les indicateurs suivants sur les postes gérés. Les plus solidement corroborés sont l'ID de l'extension, la version, l'endpoint d'exfiltration et le nom de fichier déguisé ; les entrées marquées (selon le rapport) proviennent de l'article de rétro-ingénierie d'origine et sont incluses par souci d'exhaustivité.

TypeIndicateur
ID d'extensionidgpnmonknjnojddfkpgkljpfnnfcklj
Version7.0.18
Réseau (exfiltration)POST sortant vers api.stanfordstudies.com/app/log
Domainesapi.stanfordstudies.com, stanfordstudies.com
Fichier déguisédayjs.min-*.js (SDK de collecte de données)
Fichier associé (selon le rapport)background-94ad634d.js
Clé AES codée en dur (selon le rapport)aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE
Sel d'empreinte (selon le rapport)mod盐header

Comportement rapporté : collecte des domaines uniquement (ni URL complètes, ni valeurs de cookies, ni mots de passe), chiffrement AES-GCM, un envoi groupé par jour selon un planning aléatoire propre à chaque appareil, pas d'exécution de code distant ni de chargement de scripts externes.

FAQ

Mes données de navigation ont-elles vraiment été volées ?

D'après les chercheurs qui ont rétro-analysé la version 7.0.18, le collecteur a été livré dormant, derrière une allowlist vide : dans leur environnement de test, rien n'est sorti. Mais l'endpoint, la clé et le planificateur étaient tous en place — une mise à jour ultérieure aurait pu tout activer. Traitez cela comme un risque d'exposition réel, pas comme une fuite confirmée : supprimez l'extension, effacez ses données et renouvelez les secrets que vous y avez collés.

Chrome l'a déjà désactivée — c'est réglé ?

Pas tout à fait. La désactivation empêche l'exécution mais n'efface pas les données mises en cache localement (rapportées comme pouvant largement dépasser 100 Mo d'en-têtes, tokens et cookies stockés). Supprimez-la complètement et effacez les dossiers résiduels de l'étape 3.

Quelle version est concernée ?

Les chercheurs attribuent le SDK caché à la version 7.0.18 (ID idgpnmonknjnojddfkpgkljpfnnfcklj). Début juillet 2026, Google l'a signalée et désactivée, et Microsoft l'a retirée d'Edge.

Par quoi la remplacer ?

Choisissez un éditeur d'en-têtes léger, nativement MV3, sans pub, sans analytics, et dont les permissions se comprennent d'un coup d'œil. VibeHeader est construit sur ce principe (et est en cours d'open-sourcing pour être auditable) ; si vous avez besoin d'un moteur de règles plus lourd, voyez Requestly et Header Editor (en anglais).

S'il vous faut un éditeur d'en-têtes pour le remplacer

Vous aurez toujours besoin de modifier des en-têtes pour vos tests — la vraie question est donc : à qui faire confiance maintenant ? La checklist qui compte : un périmètre fonctionnel restreint et ciblé ; du Manifest V3 natif ; ni pub, ni analytics ; des permissions qu'on peut réellement évaluer ; et un partage qui ne fait pas transiter vos configs par le serveur de quelqu'un d'autre.

VibeHeader a été construit selon ce cahier des charges : sans pub, sans tracking, avec un partage par lien qui encode la config dans le fragment d'URL (#c=) : elle est traitée dans votre navigateur et rien n'est envoyé à un serveur. L'extension est aussi en cours d'open-sourcing — vous n'aurez pas à nous croire sur parole. Pour l'histoire complète et les autres options maintenues, voyez le récit du fondateur (en anglais) et le comparatif des alternatives à ModHeader (en anglais).

L'interface de l'extension VibeHeader : une liste épurée de règles d'en-têtes HTTP avec un bouton de partage par lien, sans publicité
VibeHeader : un éditeur d'en-têtes ciblé, partage par lien en un clic, sans pub ni analytics.

Aucune pression — le but de cette page est de vous aider à nettoyer en toute sécurité, quel que soit votre choix ensuite.

Sources

Toutes les affirmations concernant ModHeader sur cette page sont attribuées à Google, Microsoft et aux chercheurs cités ci-dessus. Les indicateurs marqués « (selon le rapport) » proviennent de l'article de HackIndex et n'ont pas été revérifiés indépendamment par nos soins.