Une grande partie du travail des développeurs s'effectue désormais dans le navigateur, où s'ouvrent simultanément et avec authentification des onglets pour GitHub, cloud , les outils de CI/CD et les outils internes. Les extensions de navigateur s'intègrent à cet environnement avec des autorisations étendues, comprenant souvent l'accès au contenu des pages, aux requêtes réseau et aux données de session. Cette combinaison en fait l'une des cibles les plus attrayantes pour les pirates.
Une simple extension de navigateur a joué un rôle majeur dans la chaîne d'attaque qui a conduit à la violation de Vercel en début d'année, et ce ne sera pas la dernière fois. Cet article explique comment fonctionnent réellement les extensions, pourquoi les mesures de contrôle sur lesquelles s'appuient la plupart des entreprises s'avèrent insuffisantes, et quelles sont les solutions efficaces tant au niveau individuel qu'au niveau organisationnel.
Comment fonctionnent les extensions de navigateur et pourquoi elles sont vulnérables
Je vais être bref sur les définitions, mais en résumé, les extensions de navigateur élargissent les fonctionnalités de votre navigateur de manière ludique en installant des logiciels dotés de privilèges importants au sein du navigateur.
Les extensions s'appuient sur des API Web et s'exécutent au sein même du processus du navigateur. Un fichier manifest.json définit les autorisations requises par l'extension au moment de l'installation. Les service workers en arrière-plan fonctionnent en continu, gérant les requêtes réseau et la communication avec les serveurs externes. Les scripts de contenu s'intègrent séparément au DOM de la page, ce qui permet à l'extension d'accéder directement à tout ce qui est affiché dans le navigateur.
Lorsque vous accordez à une extension l'accès à « tous les sites », vous lui donnez un accès en lecture et en écriture à toutes les pages chargées par le navigateur, y compris les sessions authentifiées, les données saisies dans les formulaires et les réponses API en cours de transmission. Elles peuvent voir beaucoup de choses. Les extensions ne peuvent pas pirater directement le coffre-fort d'un gestionnaire de mots de passe, mais elles n'en ont pas besoin. Avec les bonnes autorisations d'hôte et l'injection de scripts de contenu, elles peuvent intercepter les événements de remplissage automatique et lire les valeurs des champs de formulaire avant leur soumission. Elles peuvent capturer vos identifiants au fur et à mesure que vous les saisissez si les mots de passe sont en texte clair dans le code source HTML (ce qui arrive plus souvent qu'on ne le souhaiterait).
Un autre problème de sécurité lié aux extensions de navigateur réside dans le fait qu'elles se mettent à jour de manière silencieuse et automatique, sans demander votre consentement. Contrairement à la plupart des logiciels qui vous harcèlent pour que vous validiez les mises à jour, une extension ne vous avertit que lorsqu'elle a besoin d'autorisations supplémentaires par rapport à celles dont elle dispose déjà. Une extension qui était sûre le mois dernier pourrait recevoir une mise à jour malveillante dès ce soir, et tous les utilisateurs qui l'ont installée la recevraient automatiquement.
Pourquoi les extensions de navigateur sont-elles utilisées pour mener des attaques ?
On entend dire que « le navigateur est le nouveau bureau » depuis au moins le lancement de Chrome, et ce n'est pas loin de la réalité pour les développeurs. Si c'est vrai, alors les extensions sont les applications qui s'exécutent sur ce bureau, avec un accès aux consoles GitHub et AWS.
Les cookies constituent l'un des maillons faibles. Les cookies de session peuvent être exfiltrés et réutilisés, permettant ainsi à un attaquant d'accéder à tous les services auxquels la victime est connectée, où qu'il se trouve. Pour un attaquant, disposer d'un accès permanent aux sessions de navigateur authentifiées revêt donc une grande valeur. Glassworm est une campagne d'attaques par la chaîne d'approvisionnement qui a compromis des centaines de projets sur GitHub, npm et VS Code. Dans une évolution de 2026, découverte par l'équipe de recherche en sécurité Aikido, la campagne a déployé un logiciel malveillant qui installait spécifiquement une extension de navigateur pour voler les cookies de session et les jetons des sessions de navigateur. L'attaquant savait qu'une extension serait un moyen facile de voler ces données !
Il est également relativement facile de créer et de publier des extensions malveillantes. Dans l'ensemble, le processus de vérification du Chrome Web Store est minimal, et les mises à jour des extensions déjà publiées font l'objet de peu de contrôles après l'examen initial. Par exemple, entre janvier et mars 2025, des chercheurs indiens ont développé et soumis de véritables extensions malveillantes à la fois au Chrome Web Store et à la boutique d'extensions de Firefox, et plusieurs d'entre elles ont été acceptées. Ils ont testé neuf types d'extensions couvrant le vol de cookies, l'enregistrement de frappe, la capture d'écran, le suivi de l'historique de navigation, l'activation de la caméra, l'injection de publicités et l'accès à la boîte de réception Gmail. Firefox a laissé passer presque tout, en particulier lorsque le comportement malveillant était intégré à un programme se présentant comme un outil de productivité.
Les extensions peuvent également être achetées et vendues en toute discrétion. The Great Suspender est l'exemple type d'un transfert de propriété qui a mal tourné. Il s'agissait d'une extension de gestion des onglets très appréciée et largement installée. L'auteur, épuisé par des années de maintenance bénévole, l'a vendue à quelqu'un d'autre ( l'histoire classique des mainteneurs sous-estimés). Le nouveau propriétaire a déployé des mises à jour qui introduisaient le suivi et l'injection de publicités. Lorsque les chercheurs ont signalé ce nouveau comportement, l'extension était déjà installée sur des millions de navigateurs depuis des semaines.
Quelles sont les cyberattaques impliquant des extensions de navigateur ?
Ces dernières années, certaines extensions de navigateur ont été à l'origine d'attaques majeures. Certaines contenaient des charges utiles malveillantes, d'autres avaient simplement été compromises.
Prenons l'exemple de la faille de sécurité chez Vercel survenue plus tôt cette année. Un employé de Vercel avait préalablement installé l'extension Chrome de Context.ai et lui avait accordé un accès OAuth à son compte Google Workspace. Par la suite, un employé de Context.ai a installé un logiciel malveillant et a compromis ses comptes. Le logiciel malveillant a dérobé les identifiants et les jetons OAuth stockés dans le backend de Context.ai, y compris le jeton OAuth de Vercel, puis l'attaquant s'est retourné contre Vercel et a utilisé ce jeton pour s'introduire dans les systèmes internes de l'entreprise.
Bien que d'autres pratiques peu sûres aient joué un rôle dans cette affaire, telles que l'absence de vérification et de révocation d'autorisations OAuth trop étendues et de longue date, ainsi que des variables d'environnement qui auraient dû être classées comme sensibles, l'extension Chrome a constitué le point d'entrée. L'extension en elle-même n'était pas malveillante, mais elle avait accès à des données sensibles et a été compromise.
La faille de sécurité de Cyberhaven fin 2024 illustre le cas d'une extension transformée en logiciel malveillant : l'extension Chrome de Cyberhaven a été compromise à la suite d'une attaque par hameçonnage visant un compte de développeur. Une mise à jour malveillante a été diffusée à tous les utilisateurs et est restée active pendant 24 heures avant que quiconque ne s'en aperçoive.
Dans les deux cas, l'accès à l'extension de navigateur a été la première étape qui a rendu tout le reste possible.
Pourquoi les mesures de sécurité des extensions de navigateur échouent
De nombreuses organisations ne disposent pas de politique officielle en matière d'extensions. Celles qui en ont une tentent souvent soit de tout bloquer (ce que les développeurs et les personnes familiarisées avec la technologie contournent facilement), soit de s'appuyer sur une liste blanche gérée manuellement qui est toujours quelque peu obsolète.
La mise à jour et la sélection rigoureuse de cette liste se heurtent à des obstacles évidents. Environ la moitié des auteurs d'extensions sont inconnus et ne sont validés qu'à l'aide d'une adresse Gmail, et quatre éditeurs sur cinq ne proposent qu'une seule extension. Ainsi, la gestion des extensions sur la base de leur réputation ne fonctionne que pour une petite partie d'entre elles, et même les grandes entreprises publient des extensions qui ne sont pas irréprochables.
Dans le cadre d'un rapport de recherche anonyme, des chercheurs ont identifié 287 extensions, totalisant 37,4 millions d'installations, qui exfiltraient l'historique de navigation. La seule façon de les détecter consistait à analyser le comportement du trafic ; leur simple lecture n'aurait donc pas permis de les repérer. Bon nombre des extensions concernées portaient des noms connus.
Sans compter que les extensions peuvent être mises à jour ou changer de propriétaire sans que l'on s'en aperçoive. Il est impossible de rester à jour en procédant manuellement à la vérification des extensions.
Comment sécuriser les extensions de navigateur
Les extensions de navigateur présentent un risque assez élevé de par leur mode de fonctionnement, mais il existe tout de même des moyens de rendre leur utilisation plus sûre, sans pour autant les bannir complètement.
Au niveau individuel, il existe quelques précautions simples à prendre :
- Vérifiez quelles extensions sont actuellement installées sur votre navigateur et passez en revue leurs autorisations. Les extensions peuvent évoluer au fil du temps sans que vous en soyez informé ; il est donc conseillé de vérifier celles que vous avez installées il y a plusieurs années et que vous n'avez pas consultées depuis.
- Désinstallez les extensions dont vous n'avez pas besoin ou qui disposent d'autorisations trop étendues. Une extension qui nécessite l'accès à tous les sites pour mettre en forme des feuilles de calcul devrait au moins vous mettre la puce à l'oreille. Vous pouvez vérifier quelles applications, y compris les extensions, ont accès à votre compte Google sur la page des autorisations de votre compte.
- Évitez d'installer les extensions qui demandent trop d'autorisations. Méfiez-vous des extensions accordant des autorisations étendues et provenant d'éditeurs peu connus ou inconnus.
- Les profils de navigateur permettent de séparer les tâches sensibles de la navigation courante, ce qui limite l'ampleur des dégâts en cas de problème. Veillez à bien séparer votre travail de votre profil de navigateur personnel.
- Traitez l'installation d'extensions avec le même rigueur que celle que vous appliqueriez à une dépendance npm. Faites vos recherches.
Cette approche fonctionne bien pour un ordinateur personnel ou une petite équipe, mais elle n'est pas vraiment évolutive et il n'est pas possible de l'appliquer à l'échelle de toute une entreprise. Au niveau organisationnel, les systèmes qui fonctionnent se présentent comme suit :
- Mettre en place un système de blocage en amont basé sur renseignement sur les menaces en temps réel plutôt que sur une liste statique mise à jour manuellement
- Analyser en permanence les extensions afin de détecter rapidement tout changement de comportement
- Une visibilité à l'échelle de l'entreprise pour que vous sachiez ce qui est installé avant qu'un problème ne survienne
- Des politiques qui tiennent compte du fait que les services d'ingénierie, de vente et de finance présentent des profils de risque et des besoins différents
- Sensibilisez tout le monde aux bonnes pratiques à adopter en partageant des articles de blog comme ceux-ci et en organisant des formations à la sécurité (Riot propose une excellente solution à cet effet).
Tous les outils de gestion des appareils ne prennent pas en charge ce type de gestion des extensions de navigateur ; vous devez donc vérifier les fonctionnalités de votre outil MDM pour voir s'il les inclut.
Aikido est une solution adaptée à ce modèle de sécurité des extensions de navigateur. Il s'agit d'un agent léger conçu pour la surface d'attaque des appareils des développeurs, qui couvre ces aspects. Il bloque les extensions malveillantes connues avant leur installation, impose un délai de 48 heures pour les extensions nouvellement publiées et offre aux équipes de sécurité une visibilité sur ce qui est installé sur chaque appareil de développeur, avec des contrôles de politique au niveau de l'équipe et un workflow d'approbation qui permet aux développeurs de continuer à travailler sans entrave. La couverture s'étend au-delà des extensions de navigateur pour inclure npm, PyPI, les extensions d'IDE et les places de marché d'agents IA.
Empêchez la prochaine attaque par extension de navigateur
La faille Vercel ne sera pas le dernier incident dans lequel des extensions de navigateur feront partie de la chaîne d'attaque. La surface d'attaque est tout simplement trop lucrative ; les particuliers comme les entreprises doivent donc s'y préparer.
La même rigueur que celle appliquée aux dépendances open source s'impose ici aussi, et les organisations qui adoptent cette approche seront bien mieux placées que celles qui attendent qu'un incident vienne forcer le débat.
Découvrez-en davantage sur Aikido ou consultez le fluxAikido pour voir en temps réel ce qui a été détecté dans les écosystèmes open source.
{{cta}}
FAQ
En quoi les extensions de navigateur constituent-elles un risque pour la sécurité ?
Les extensions de navigateur s'exécutent au sein même du processus du navigateur et peuvent demander des autorisations étendues lors de leur installation. Une extension ayant accès à tous les sites peut lire le contenu des pages, intercepter les requêtes réseau et accéder aux sessions authentifiées pour toutes vos activités dans le navigateur. Cela inclut les outils internes, cloud , ainsi que tous les identifiants ou jetons transitant par une page. Le modèle d'autorisations est puissant de par sa conception, et c'est précisément cette puissance qui rend les extensions attrayantes pour les pirates.
Une extension de navigateur peut-elle voler mes mots de passe ?
Pas toujours directement, mais souvent efficacement. Les extensions ne peuvent pas forcer l'ouverture du coffre-fort chiffré d'un gestionnaire de mots de passe, mais elles n'en ont pas besoin. Avec les autorisations d'hôte appropriées et l'injection de scripts de contenu, une extension peut intercepter les événements de remplissage automatique et lire les valeurs des champs de formulaire avant leur soumission. Si des identifiants apparaissent en clair dans le code source HTML à un moment donné, une extension disposant d'un accès aux scripts de contenu peut les lire. Une extension malveillante disposant de privilèges suffisants peut capturer les identifiants au fur et à mesure que vous les saisissez.
Les extensions de navigateur se mettent-elles à jour automatiquement ?
Oui, et sans même vous demander votre accord ! Contrairement à la plupart des logiciels qui vous invitent à approuver une mise à jour, les extensions de navigateur se mettent à jour discrètement en arrière-plan. La seule exception concerne les cas où une mise à jour requiert des autorisations supplémentaires par rapport à celles qui avaient été initialement accordées. Une extension inoffensive qui recevrait une mise à jour malveillante ce soir transmettrait automatiquement cette mise à jour à tous les utilisateurs. Vous n'auriez aucun moyen de le savoir, à moins de surveiller activement le comportement de l'extension.
Comment savoir si une extension de navigateur peut être installée en toute sécurité ?
Il n'existe pas de signe infaillible, mais vous pouvez vérifier plusieurs éléments. Vérifiez les autorisations demandées par l'extension et assurez-vous qu'elles correspondent bien à ce dont l'extension a réellement besoin. Vérifiez si l'éditeur est réputé. En cas de doute, abordez cette décision comme vous le feriez si vous deviez ajouter une dépendance inconnue à un code de production.
Pourquoi la détection au niveau des terminaux ne repère-t-elle pas les activités malveillantes des extensions de navigateur ?
La plupart des outils de détection et de réponse aux incidents au niveau des terminaux ne détectent pas les menaces liées aux extensions de navigateur, car toutes les actions d'une extension malveillante ressemblent à des opérations normales effectuées par Chrome. Les requêtes réseau et l'accès au DOM s'effectuent au sein du processus du navigateur et sont impossibles à distinguer de l'activité légitime du navigateur au niveau du système.
Comment gérer la sécurité des extensions de navigateur ?
Les entreprises devraient privilégier les contrôles basés sur le comportement plutôt que ceux basés sur l'identité. La gestion manuelle d'une liste blanche d'extensions approuvées ne tient pas compte des mises à jour silencieuses ni des transferts de propriété. Ce qui fonctionne, c'est le blocage avant installation par rapport à renseignement sur les menaces mis à jour en continu, une surveillance comportementale permanente permettant de détecter les modifications apportées aux extensions déjà installées, et une visibilité à l'échelle de l'entreprise sur ce qui est réellement installé sur les différents appareils. Les politiques doivent également tenir compte du fait que les services d'ingénierie, des ventes et des finances présentent des profils de risque différents et ont des besoins différents en matière d'extensions.
Les extensions Chrome sont-elles sûres ? Les extensions Chrome ne sont pas dangereuses en soi, mais elles comportent des risques réels de par leur conception. Le modèle d'autorisations accorde aux extensions un accès étendu à l'activité du navigateur, et le processus de vérification du Chrome Web Store est minimal. Une extension qui semble inoffensive au moment de l'installation peut faire l'objet d'une mise à jour malveillante, être vendue à un nouveau propriétaire ou être compromise via le compte de son développeur. La sécurité dépend fortement de l'extension en question, de son éditeur et des autorisations qu'elle demande.
Les entreprises peuvent-elles surveiller les extensions de navigateur ? La plupart des organisations ont une visibilité limitée sur les extensions installées sur leur parc informatique et sur leurs activités. Les outils MDM permettent de mettre en place des listes d'autorisations, mais ne détectent pas les changements de comportement après l'installation. Les outils EDR ne détectent pas la plupart des activités des extensions, car celles-ci sont impossibles à distinguer du comportement normal du navigateur au niveau du système. L'approche la plus fiable actuellement disponible consiste à utiliser des outils dédiés installés sur l'appareil, qui vérifient les installations par rapport à renseignement sur les menaces en temps réel.
En quoi Aikido contribue-t-il à la sécurité des navigateurs ?
Aikido s'installe sur l'appareil et analyse chaque extension avant son installation, bloquant automatiquement les extensions malveillantes connues grâce à Aikido , une renseignement sur les menaces mise à jour en continu. Il applique également un blocage de 48 heures aux extensions nouvellement publiées, période durant laquelle les nouvelles menaces sont les plus susceptibles de passer inaperçues. Les équipes de sécurité bénéficient d'une visibilité sur ce qui est installé sur chaque appareil des développeurs, grâce à des contrôles de politique au niveau de l'équipe et à un workflow d'approbation qui permet aux développeurs de continuer à travailler sans restriction. La surveillance des extensions de navigateur est incluse dans l'offre payante d'Endpoint, aux côtés de la couverture pour npm, PyPI, les extensions IDE et les marketplaces d'agents IA.
