{"id":23425,"date":"2025-12-10T18:45:33","date_gmt":"2025-12-10T16:45:33","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23425"},"modified":"2025-12-10T18:45:33","modified_gmt":"2025-12-10T16:45:33","slug":"chrome-extension-security-validation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/chrome-extension-security-validation\/23425\/","title":{"rendered":"Extensions de navigateur : ne faites jamais confiance, v\u00e9rifiez toujours"},"content":{"rendered":"

Les extensions de navigateur malveillantes restent un angle mort pour les \u00e9quipes de cybers\u00e9curit\u00e9 de nombreuses organisations. Elles sont devenues un incontournable de l\u2019arsenal des cybercriminels, utilis\u00e9es pour le vol de sessions et de comptes, l\u2019espionnage, le masquage d\u2019autres activit\u00e9s criminelles, la fraude publicitaire et le vol de cryptomonnaies. Les incidents tr\u00e8s m\u00e9diatis\u00e9s impliquant des extensions malveillantes sont fr\u00e9quents, allant de la compromission de l\u2019extension de s\u00e9curit\u00e9 Cyberhaven<\/a> \u00e0 la publication massive d\u2019extensions de voleurs d\u2019informations<\/a>.<\/p>\n

Les extensions sont attrayantes pour les pirates informatiques, car elles disposent d\u2019autorisations et d\u2019un acc\u00e8s \u00e9tendu aux informations contenues dans les applications SaaS et les sites Internet. Comme il ne s\u2019agit pas d\u2019applications autonomes, elles \u00e9chappent souvent aux strat\u00e9gies de s\u00e9curit\u00e9 et aux outils de contr\u00f4le standard.<\/p>\n

L\u2019\u00e9quipe de s\u00e9curit\u00e9 d\u2019une entreprise doit s\u2019attaquer \u00e0 ce probl\u00e8me de fa\u00e7on syst\u00e9matique. La gestion des extensions de navigateur n\u00e9cessite une combinaison d\u2019outils de gestion des strat\u00e9gies ainsi que des services ou utilitaires sp\u00e9cialis\u00e9s dans l\u2019analyse des extensions. Ce sujet \u00e9tait au c\u0153ur de l\u2019intervention d\u2019Athanasios Giatsos lors du Security Analyst Summit 2025<\/a>.<\/p>\n

Risques li\u00e9s aux extensions Web et innovations dans Manifest\u00a0V3<\/h2>\n

L\u2019extension Web d\u2019un navigateur dispose d\u2019un acc\u00e8s \u00e9tendu aux informations des pages Internet\u00a0: elle peut lire et modifier toutes les donn\u00e9es accessibles \u00e0 l\u2019utilisateur via l\u2019application Web, y compris les dossiers financiers ou m\u00e9dicaux. Les extensions ont \u00e9galement souvent acc\u00e8s \u00e0 des donn\u00e9es importantes qui ne sont g\u00e9n\u00e9ralement pas visibles par les utilisateurs\u00a0: cookies, stockage local et param\u00e8tres proxy. Cela facilite grandement le d\u00e9tournement de session. Parfois, les fonctionnalit\u00e9s des extensions vont bien au-del\u00e0 des pages Internet\u00a0: elles peuvent acc\u00e9der \u00e0 la localisation de l\u2019utilisateur, aux t\u00e9l\u00e9chargements du navigateur, \u00e0 des captures d\u2019\u00e9cran du bureau, au contenu du presse-papiers et aux notifications du navigateur.<\/p>\n

Dans l\u2019architecture d\u2019extension autrefois en vigueur, les extensions Manifest V2, qui fonctionnaient sur Chrome, Edge, Opera, Vivaldi, Firefox et Safari, sont pratiquement impossibles \u00e0 distinguer des applications \u00e0 part enti\u00e8re du point de vue de leurs fonctionnalit\u00e9s. Elles permettent d\u2019ex\u00e9cuter en continu des scripts en arri\u00e8re-plan, de garder ouvertes des pages Internet invisibles, de charger et d\u2019ex\u00e9cuter des scripts provenant de sites externes, et de communiquer avec des sites arbitraires pour r\u00e9cup\u00e9rer ou envoyer des donn\u00e9es. Pour limiter tout abus potentiel, ainsi que les bloqueurs de publicit\u00e9s<\/a>, Google a fait passer Chromium et Chrome \u00e0 la sp\u00e9cification d\u2019extension Manifest\u00a0V3. Cette mise \u00e0 jour a limit\u00e9 ou bloqu\u00e9 de nombreuses fonctionnalit\u00e9s des extensions. Les extensions doivent d\u00e9sormais d\u00e9clarer tous les sites avec lesquels elles communiquent, elles ne sont plus autoris\u00e9es \u00e0 ex\u00e9cuter du code tiers charg\u00e9 dynamiquement et doivent utiliser des microservices \u00e0 courte dur\u00e9e de vie au lieu de scripts d\u2019arri\u00e8re-plan persistants. M\u00eame si certains vecteurs d\u2019attaque deviennent plus difficiles \u00e0 exploiter avec la nouvelle architecture, il reste ais\u00e9 pour les cybercriminels de r\u00e9\u00e9crire leur code afin de conserver les fonctionnalit\u00e9s essentielles, au d\u00e9triment de la discr\u00e9tion. Par cons\u00e9quent, le fait de s\u2019appuyer uniquement sur des navigateurs et des extensions fonctionnant sous Manifest V3 au sein d\u2019une organisation simplifie la supervision, mais n\u2019est pas une panac\u00e9e.<\/p>\n

En outre, la version\u00a03 ne r\u00e9sout pas le probl\u00e8me fondamental li\u00e9 aux extensions\u00a0: celles-ci sont g\u00e9n\u00e9ralement t\u00e9l\u00e9charg\u00e9es \u00e0 partir de boutiques d\u2019applications officielles utilisant des domaines officiels de Google, Microsoft ou Mozilla. Leur activit\u00e9 semble \u00eatre lanc\u00e9e par le navigateur lui-m\u00eame, ce qui rend extr\u00eamement difficile la distinction entre les actions effectu\u00e9es par une extension et celles ex\u00e9cut\u00e9es manuellement par l\u2019utilisateur.<\/p>\n

Comment surgissent les extensions malveillantes<\/h2>\n

En se fondant sur divers incidents publics, Athanasios Giatsos met en \u00e9vidence plusieurs sc\u00e9narios dans lesquels des extensions malveillantes peuvent surgir\u00a0:<\/p>\n