Blog · Alerte sécurité · Mis à jour le 14 juillet 2026
Supprimer le malware ModHeader et nettoyer ce qu'il a laissé derrière lui
Début juillet 2026, Google a signalé ModHeader v7.0.18 comme malware et Microsoft l'a retiré de la boutique Edge, après que des chercheurs ont rapporté qu'il embarquait un SDK de collecte de données caché. Voici une checklist de nettoyage sobre et factuelle : vérifier si vous êtes concerné, désinstaller, effacer les résidus sur Mac et Windows, et sécuriser ce à quoi l'extension a pu toucher.
Ce guide est écrit pour vous être utile, que vous finissiez par adopter VibeHeader ou non. Tout ce qui est dit ci-dessous sur ModHeader est attribué à Google, Microsoft et aux chercheurs indépendants cités dans les sources — rien n'est de notre propre analyse. Si Chrome ou Edge a déjà désactivé l'extension chez vous, c'est le signe que le nettoyage ci-dessous vous concerne.
Pressé ? L'essentiel tient en quatre gestes, dans l'ordre (détails plus bas) :
Supprimez l'extension de Chrome et Edge.
Effacez ses dossiers de stockage résiduels sur Mac ou Windows.
Bloquez api.stanfordstudies.com dans votre DNS ou votre fichier hosts.
Renouvelez tous les secrets que vous y avez collés.
Ce qui a été rapporté (version 60 secondes)
Début juillet 2026, Google a signalé ModHeader comme malware et l'a désactivé, et Microsoft l'a retiré de la boutique de modules Edge (autour du 3 juillet ; la fiche Chrome était hors ligne vers le 10 juillet).
Des chercheurs ont rapporté que la version 7.0.18 de ModHeader embarquait un SDK caché — dissimulé dans un fichier déguisé en bibliothèque de dates (dayjs.min-*.js) — qui collectait les domaines que vous visitiez, les chiffrait en AES-GCM et les envoyait en POST une fois par jour vers un collecteur tiers à api.stanfordstudies.com/app/log (un site intitulé « Stanford Studies », sans aucun lien réel avec l'université de Stanford).
Ampleur rapportée : environ 900 000 installations Chrome plus environ 700 000 sur Edge (soit ~1,6 million au total). Certains articles ne citent que le chiffre d'environ 800 000 installations Chrome.
Nuance importante : selon les chercheurs, le collecteur a été livré dormant, derrière une allowlist vide — dans leurs tests, rien n'est sorti — mais l'endpoint, la clé et le planificateur étaient tous en place et une mise à jour ultérieure aurait pu les activer. Il faut donc y voir un risque d'exposition sérieux, pas une fuite massive confirmée.
Si ModHeader est encore installé chez vous, la recommandation générale est de le supprimer. Voici comment le faire proprement.
Étape 1 — Vérifier si vous êtes concerné
Ouvrez chrome://extensions (et edge://extensions si vous utilisez Edge), puis activez le mode développeur pour afficher les numéros de version.
Nom : ModHeader — Modify HTTP headers
ID de l'extension :idgpnmonknjnojddfkpgkljpfnnfcklj
Version incriminée :7.0.18 (si vous êtes sur cette version, considérez-vous comme concerné)
Si le contrôle de sécurité de Chrome affiche déjà « Cette extension contient un logiciel malveillant », vous êtes au bon endroit — ne vous contentez pas de fermer l'avertissement, allez au bout du nettoyage ci-dessous. Voici à quoi ressemble l'avertissement en question :
Le contrôle de sécurité de Chrome signale ModHeader comme malware et recommande sa suppression.
Étape 2 — Supprimer l'extension (Chrome et Edge)
Ouvrez chrome://extensions → trouvez ModHeader → cliquez sur Supprimer → confirmez. Refaites la même chose dans edge://extensions.
Si le navigateur l'a déjà désactivée, laissez-la désactivée et cliquez quand même sur Supprimer — la désactivation empêche l'exécution mais n'efface pas les données en cache.
Répétez l'opération dans chaque profil de navigateur où elle était installée (chaque profil Chrome est indépendant).
Étape 3 — Supprimer les données locales résiduelles
La désinstallation efface généralement l'essentiel, mais les données en cache de l'extension — dont les chercheurs rapportent qu'elles pouvaient largement dépasser 100 Mo d'en-têtes de requête/réponse stockés, incluant potentiellement des tokens et des cookies — subsistent parfois. Par prudence, supprimez ceux de ces dossiers qui existent encore. Remplacez Default par le nom réel de votre dossier de profil (vérifiez aussi Profile 1, Profile 2, …).
macOS
Sous ~/Library/Application Support/Google/Chrome/ (et l'équivalent Edge sous Microsoft Edge) :
Quittez complètement le navigateur avant de supprimer ces dossiers, sinon les fichiers risquent d'être verrouillés.
💡 Astuce : confiez le ratissage à un agent de codage. Si vous utilisez un agent comme Claude Code ou Codex, collez-lui l'URL de ce guide (ou la liste de dossiers ci-dessus) et demandez-lui de localiser puis supprimer les dossiers résiduels de ModHeader dans tous vos profils de navigateur — particulièrement utile quand vous avez plusieurs profils et craignez d'en oublier un. Deux précautions : quittez d'abord complètement le navigateur, et exigez que l'agent liste ce qu'il a trouvé et attende votre confirmation avant de supprimer quoi que ce soit.
Étape 4 — Bloquer le domaine d'exfiltration
Bloquez le collecteur et journalisez les tentatives, pour qu'aucune donnée ne puisse sortir, même depuis une copie en cache oubliée :
Particuliers : ajoutez la ligne 0.0.0.0 api.stanfordstudies.com à votre fichier hosts (/etc/hosts sur macOS/Linux, C:\Windows\System32\drivers\etc\hosts sur Windows), ou bloquez le domaine dans votre résolveur DNS / Pi-hole.
Équipes : ajoutez api.stanfordstudies.com (ainsi que le domaine parent stanfordstudies.com) à votre liste de blocage DNS / pare-feu sortant, et recherchez dans les journaux proxy et DNS tout POST /app/log historique vers cet hôte.
Étape 5 — Renouveler tout ce que vous lui avez confié de sensible
Puisque l'extension pouvait lire et stocker les en-têtes qui transitaient par votre navigateur, considérez comme potentiellement exposé tout ce que vous y colliez régulièrement, et régénérez-le :
Les tokens Authorization / Bearer et clés API utilisés dans vos configs d'en-têtes.
Les cookies de session définis via des en-têtes pour vos tests.
Les noms d'hôtes internes ou identifiants de préproduction présents dans vos jeux d'en-têtes.
C'est une précaution, vu l'état dormant rapporté — mais renouveler un token coûte bien moins cher que de parier que tout va bien.
Indicateurs de compromission (pour les équipes sécurité / IT)
Recherchez les indicateurs suivants sur les postes gérés. Les plus solidement corroborés sont l'ID de l'extension, la version, l'endpoint d'exfiltration et le nom de fichier déguisé ; les entrées marquées (selon le rapport) proviennent de l'article de rétro-ingénierie d'origine et sont incluses par souci d'exhaustivité.
Type
Indicateur
ID d'extension
idgpnmonknjnojddfkpgkljpfnnfcklj
Version
7.0.18
Réseau (exfiltration)
POST sortant vers api.stanfordstudies.com/app/log
Domaines
api.stanfordstudies.com, stanfordstudies.com
Fichier déguisé
dayjs.min-*.js (SDK de collecte de données)
Fichier associé (selon le rapport)
background-94ad634d.js
Clé AES codée en dur (selon le rapport)
aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE
Sel d'empreinte (selon le rapport)
mod盐header
Comportement rapporté : collecte des domaines uniquement (ni URL complètes, ni valeurs de cookies, ni mots de passe), chiffrement AES-GCM, un envoi groupé par jour selon un planning aléatoire propre à chaque appareil, pas d'exécution de code distant ni de chargement de scripts externes.
FAQ
Mes données de navigation ont-elles vraiment été volées ?
D'après les chercheurs qui ont rétro-analysé la version 7.0.18, le collecteur a été livré dormant, derrière une allowlist vide : dans leur environnement de test, rien n'est sorti. Mais l'endpoint, la clé et le planificateur étaient tous en place — une mise à jour ultérieure aurait pu tout activer. Traitez cela comme un risque d'exposition réel, pas comme une fuite confirmée : supprimez l'extension, effacez ses données et renouvelez les secrets que vous y avez collés.
Chrome l'a déjà désactivée — c'est réglé ?
Pas tout à fait. La désactivation empêche l'exécution mais n'efface pas les données mises en cache localement (rapportées comme pouvant largement dépasser 100 Mo d'en-têtes, tokens et cookies stockés). Supprimez-la complètement et effacez les dossiers résiduels de l'étape 3.
Quelle version est concernée ?
Les chercheurs attribuent le SDK caché à la version 7.0.18 (ID idgpnmonknjnojddfkpgkljpfnnfcklj). Début juillet 2026, Google l'a signalée et désactivée, et Microsoft l'a retirée d'Edge.
Par quoi la remplacer ?
Choisissez un éditeur d'en-têtes léger, nativement MV3, sans pub, sans analytics, et dont les permissions se comprennent d'un coup d'œil. VibeHeader est construit sur ce principe (et est en cours d'open-sourcing pour être auditable) ; si vous avez besoin d'un moteur de règles plus lourd, voyez Requestly et Header Editor (en anglais).
S'il vous faut un éditeur d'en-têtes pour le remplacer
Vous aurez toujours besoin de modifier des en-têtes pour vos tests — la vraie question est donc : à qui faire confiance maintenant ? La checklist qui compte : un périmètre fonctionnel restreint et ciblé ; du Manifest V3 natif ; ni pub, ni analytics ; des permissions qu'on peut réellement évaluer ; et un partage qui ne fait pas transiter vos configs par le serveur de quelqu'un d'autre.
VibeHeader a été construit selon ce cahier des charges : sans pub, sans tracking, avec un partage par lien qui encode la config dans le fragment d'URL (#c=) : elle est traitée dans votre navigateur et rien n'est envoyé à un serveur. L'extension est aussi en cours d'open-sourcing — vous n'aurez pas à nous croire sur parole. Pour l'histoire complète et les autres options maintenues, voyez le récit du fondateur (en anglais) et le comparatif des alternatives à ModHeader (en anglais).
VibeHeader : un éditeur d'en-têtes ciblé, partage par lien en un clic, sans pub ni analytics.
Toutes les affirmations concernant ModHeader sur cette page sont attribuées à Google, Microsoft et aux chercheurs cités ci-dessus. Les indicateurs marqués « (selon le rapport) » proviennent de l'article de HackIndex et n'ont pas été revérifiés indépendamment par nos soins.