navigateur

Extensions de navigateur : ne faites jamais confiance, vérifiez toujours

Mesures et outils systématiques que les organisations peuvent utiliser pour se défendre contre les extensions de navigateur malveillantes.

Stan Kaminsky
10 Déc 2025

Les extensions de navigateur malveillantes restent un angle mort pour les équipes de cybersécurité de nombreuses organisations. Elles sont devenues un incontournable de l’arsenal des cybercriminels, utilisées pour le vol de sessions et de comptes, l’espionnage, le masquage d’autres activités criminelles, la fraude publicitaire et le vol de cryptomonnaies. Les incidents très médiatisés impliquant des extensions malveillantes sont fréquents, allant de la compromission de l’extension de sécurité Cyberhaven à la publication massive d’extensions de voleurs d’informations.

Les extensions sont attrayantes pour les pirates informatiques, car elles disposent d’autorisations et d’un accès étendu aux informations contenues dans les applications SaaS et les sites Internet. Comme il ne s’agit pas d’applications autonomes, elles échappent souvent aux stratégies de sécurité et aux outils de contrôle standard.

L’équipe de sécurité d’une entreprise doit s’attaquer à ce problème de façon systématique. La gestion des extensions de navigateur nécessite une combinaison d’outils de gestion des stratégies ainsi que des services ou utilitaires spécialisés dans l’analyse des extensions. Ce sujet était au cœur de l’intervention d’Athanasios Giatsos lors du Security Analyst Summit 2025.

Risques liés aux extensions Web et innovations dans Manifest V3

L’extension Web d’un navigateur dispose d’un accès étendu aux informations des pages Internet : elle peut lire et modifier toutes les données accessibles à l’utilisateur via l’application Web, y compris les dossiers financiers ou médicaux. Les extensions ont également souvent accès à des données importantes qui ne sont généralement pas visibles par les utilisateurs : cookies, stockage local et paramètres proxy. Cela facilite grandement le détournement de session. Parfois, les fonctionnalités des extensions vont bien au-delà des pages Internet : elles peuvent accéder à la localisation de l’utilisateur, aux téléchargements du navigateur, à des captures d’écran du bureau, au contenu du presse-papiers et aux notifications du navigateur.

Dans l’architecture d’extension autrefois en vigueur, les extensions Manifest V2, qui fonctionnaient sur Chrome, Edge, Opera, Vivaldi, Firefox et Safari, sont pratiquement impossibles à distinguer des applications à part entière du point de vue de leurs fonctionnalités. Elles permettent d’exécuter en continu des scripts en arrière-plan, de garder ouvertes des pages Internet invisibles, de charger et d’exécuter des scripts provenant de sites externes, et de communiquer avec des sites arbitraires pour récupérer ou envoyer des données. Pour limiter tout abus potentiel, ainsi que les bloqueurs de publicités, Google a fait passer Chromium et Chrome à la spécification d’extension Manifest V3. Cette mise à jour a limité ou bloqué de nombreuses fonctionnalités des extensions. Les extensions doivent désormais déclarer tous les sites avec lesquels elles communiquent, elles ne sont plus autorisées à exécuter du code tiers chargé dynamiquement et doivent utiliser des microservices à courte durée de vie au lieu de scripts d’arrière-plan persistants. Même si certains vecteurs d’attaque deviennent plus difficiles à exploiter avec la nouvelle architecture, il reste aisé pour les cybercriminels de réécrire leur code afin de conserver les fonctionnalités essentielles, au détriment de la discrétion. Par conséquent, le fait de s’appuyer uniquement sur des navigateurs et des extensions fonctionnant sous Manifest V3 au sein d’une organisation simplifie la supervision, mais n’est pas une panacée.

En outre, la version 3 ne résout pas le problème fondamental lié aux extensions : celles-ci sont généralement téléchargées à partir de boutiques d’applications officielles utilisant des domaines officiels de Google, Microsoft ou Mozilla. Leur activité semble être lancée par le navigateur lui-même, ce qui rend extrêmement difficile la distinction entre les actions effectuées par une extension et celles exécutées manuellement par l’utilisateur.

Comment surgissent les extensions malveillantes

En se fondant sur divers incidents publics, Athanasios Giatsos met en évidence plusieurs scénarios dans lesquels des extensions malveillantes peuvent surgir :

Le développeur d’origine vend une extension authentique et reconnue. L’acheteur l' »améliore » ensuite en y ajoutant du code malveillant destiné à afficher des publicités, à espionner ou à d’autres fins nuisibles. Citons par exemple les extensions The Great Suspender et Page Ruler.
Les pirates compromettent le compte du développeur et publient une mise à jour contenant un cheval de Troie pour une extension existante, comme dans le cas de Cyberhaven.
L’extension est conçue pour être malveillante dès le départ. Elle se fait passer pour un outil pratique, comme un faux logiciel de sauvegarde sur Google Drive, ou imite les noms et les conceptions d’extensions populaires, comme dans le cas des dizaines de clones d’AdBlock disponibles.
Une version plus élaborée de ce système consiste à publier initialement l’extension dans un état propre, où elle remplit une fonction véritablement utile. Des ajouts malveillants sont ensuite introduits plusieurs semaines, voire plusieurs mois plus tard, une fois que l’extension a gagné suffisamment en popularité. ChatGPT pour Google en est un exemple.

Dans tous ces cas de figure, l’extension est largement disponible dans le Chrome Web Store et est même parfois mise en avant. Cependant, il existe également un scénario d’attaque ciblée dans lequel des pages ou des messages de phishing incitent les victimes à installer une extension malveillante qui n’est pas accessible au grand public.

La distribution centralisée via le Chrome Web Store, combinée aux mises à jour automatiques du navigateur et des extensions, conduit souvent les utilisateurs à se retrouver, sans le savoir et sans aucun effort de leur part, avec une extension malveillante. Si une extension déjà installée sur un ordinateur reçoit une mise à jour malveillante, celle-ci sera installée automatiquement.

Défenses organisationnelles contre les extensions malveillantes

Dans son allocution, Athanasios Giatsos a formulé plusieurs recommandations générales :

Adoptez une stratégie d’entreprise concernant l’utilisation des extensions de navigateur.
Interdisez toute extension qui ne figure pas explicitement dans une liste approuvée par les services chargés de la cybersécurité et des technologies de l’information.
Vérifiez régulièrement toutes les extensions installées ainsi que leurs versions.
Lorsque les extensions sont mises à jour, vérifiez les modifications apportées aux autorisations qui leur sont accordées et surveillez tout changement concernant la propriété des extensions ou leur équipe de développeurs.
Prévoyez des explications sur les risques et les règles d’utilisation des extensions de navigateur dans les programmes de sensibilisation à la sécurité destinés aux employés.

À ces recommandations, nous ajoutons quelques conseils pratiques et réflexions.

Liste restreinte d’extensions et de navigateurs. En plus d’appliquer des stratégies de sécurité au navigateur officiellement approuvé par l’entreprise, il est essentiel d’interdire l’installation de versions portables et de navigateurs IA à la mode tels que Comet ou d’autres solutions non autorisées qui permettent l’installation de ce type d’extensions dangereuses. Lors de la mise en œuvre de cette étape, veillez à ce que les privilèges d’administrateur local soient réservés au personnel informatique et aux autres membres du personnel dont les fonctions l’exigent strictement.

Dans le cadre de la stratégie relative au navigateur principal de l’entreprise, vous devez désactiver le mode développeur et interdire l’installation d’extensions à partir de fichiers locaux. Pour Chrome, vous pouvez gérer ce réglage via la console d’administration. Ces paramètres sont également disponibles via les stratégies de groupe Windows, les profils de configuration macOS ou via un fichier de stratégie JSON sous Linux.

Mises à jour gérées. Mettez en place un mécanisme de sélection des versions afin d’empêcher que les mises à jour des extensions autorisées soient immédiatement installées au sein de l’entreprise. Les équipes informatiques et de cybersécurité doivent tester régulièrement les nouvelles versions des extensions approuvées et ne mettre en service les versions mises à jour qu’après les avoir vérifiées.

Défense multicouche. Il est indispensable d’installer un agent EDR sur tous les appareils de l’entreprise afin d’empêcher les utilisateurs de lancer des navigateurs non autorisés, de réduire les risques liés à la visite de sites de phishing malveillants et de bloquer les téléchargements de programmes malveillants. Il est également nécessaire de surveiller les requêtes DNS et le trafic réseau du navigateur au niveau du pare-feu afin de détecter en temps réel les communications avec des hôtes suspects et d’autres anomalies.

Surveillance en continu. Utilisez des solutions EDR et SIEM pour collecter des informations sur l’état du navigateur à partir des postes de travail des employés. Il s’agit notamment de la liste des extensions dans chaque navigateur installé, ainsi que des fichiers manifestes pour l’analyse des versions et des autorisations. Il est ainsi possible de détecter rapidement les nouvelles extensions installées ou les mises à jour de version, ainsi que les modifications apportées aux autorisations.

Comment vérifier les extensions des navigateurs

Pour mettre en œuvre les mécanismes de vérification mentionnés ci-dessus, l’entreprise doit disposer d’une base de données interne recensant les extensions autorisées et interdites. Malheureusement, les boutiques d’applications et les navigateurs eux-mêmes n’offrent aucun système pour évaluer les risques à l’échelle de l’organisation ou pour remplir automatiquement une telle liste. L’équipe chargée de la cybersécurité doit donc créer à la fois ce processus et la liste. Les employés devront également suivre une procédure officielle pour soumettre leurs demandes d’ajout d’extensions à la liste approuvée.

Il est préférable de procéder à l’évaluation des besoins de l’entreprise et des alternatives disponibles avec un représentant de l’unité commerciale concernée. Cependant, l’évaluation des risques relève entièrement de la responsabilité de l’équipe de sécurité. Il n’est pas nécessaire de télécharger manuellement les extensions et de les comparer entre les différentes boutiques d’extensions. Cette tâche peut être accomplie à l’aide de divers outils, tels que des utilitaires open source, des services en ligne gratuits et des plateformes commerciales.

Des services tels que Spin.AI et Koidex (anciennement ExtensionTotal) permettent d’évaluer le profil de risque global. Les deux services disposent d’une base de données répertoriant les extensions populaires, ce qui permet généralement une évaluation instantanée. Ils utilisent des modèles LLM pour générer un bref résumé des propriétés de l’extension, mais fournissent également une analyse détaillée, notamment les autorisations requises, le profil du développeur, l’historique des versions, les évaluations et le nombre de téléchargements.

Pour examiner les données essentielles relatives aux extensions, vous pouvez également utiliser Chrome-Stats. Bien que principalement destiné aux développeurs d’extensions, ce service affiche les notes, les avis et d’autres données relatives à la boutique. Il permet notamment aux utilisateurs de télécharger directement la version la plus récente et plusieurs versions précédentes d’une extension, ce qui simplifie les enquêtes sur les incidents.

Vous pouvez utiliser des outils tels que CRX Viewer pour procéder à une analyse plus approfondie des extensions suspectes ou critiques. Cet outil permet aux analystes d’examiner les composants internes de l’extension, en filtrant et en affichant les données de façon pratique, avec un accent particulier sur le code HTML et JavaScript.

FileFix : une nouvelle variante de ClickFix

Des acteurs malveillants ont commencé à utiliser une nouvelle variante de la technique ClickFix, baptisée « FileFix ». Nous vous expliquons son fonctionnement et comment protéger votre entreprise contre ce type d’attaque.

Conseils

Vulnérabilité Pixnapping : captures d’écran impossibles à bloquer sur votre téléphone Android

Pixnapping est une vulnérabilité Android découverte par des chercheurs. Elle permet à des applications de voler des mots de passe, des codes à usage unique et d’autres informations confidentielles à partir de l’écran sans aucune autorisation spéciale du système d’exploitation. En quoi consiste cette vulnérabilité et que pouvez-vous faire pour vous en protéger ?

Extorsion de fonds : comment les escrocs utilisent le chantage

Vous avez reçu un email à caractère menaçant. Que faites-vous ensuite ?

Hacking Black Friday : utiliser les modèles LLM pour faire des économies lors des soldes de fin d’année

Nous partons à la recherche des bonnes affaires d’une nouvelle façon : avec l’IA comme alliée. Lisez cet article pour découvrir des exemples de prompts efficaces.

Confidentialité sur les réseaux sociaux en 2025 : ce que vous devez savoir

Quels réseaux sociaux se contentent principalement d’afficher vos publications à vos amis, et lesquels les utilisent pour l’entraînement de l’IA et le ciblage publicitaire ? Nous examinons le classement 2025 des plateformes de réseaux sociaux populaires sur le plan de la confidentialité.

Protection des enfants

Extensions de navigateur : ne faites jamais confiance, vérifiez toujours

Risques liés aux extensions Web et innovations dans Manifest V3

Comment surgissent les extensions malveillantes

Défenses organisationnelles contre les extensions malveillantes

Comment vérifier les extensions des navigateurs

La confidentialité menacée : mauvaises surprises dans Chrome, Edge et Firefox

Ne synchronisez pas le navigateur au travail

FileFix : une nouvelle variante de ClickFix

Conseils

Vulnérabilité Pixnapping : captures d’écran impossibles à bloquer sur votre téléphone Android

Extorsion de fonds : comment les escrocs utilisent le chantage

Hacking Black Friday : utiliser les modèles LLM pour faire des économies lors des soldes de fin d’année

Confidentialité sur les réseaux sociaux en 2025 : ce que vous devez savoir

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky