Une grande partie du travail d'un développeur se déroule désormais dans le navigateur, avec des onglets pour GitHub, les consoles cloud, le CI/CD et les outils internes, tous authentifiés et ouverts simultanément. Les extensions de navigateur se superposent à cet environnement avec des autorisations étendues, incluant souvent l'accès au contenu des pages, aux requêtes réseau et aux données de session. Cette combinaison en fait l'une des cibles les plus attrayantes pour les attaquants.
Une seule extension de navigateur a joué un rôle majeur dans la chaîne d'attaque lors de la violation de données de Vercel plus tôt cette année, et ce ne sera pas la dernière fois. Cet article explique comment les extensions fonctionnent réellement, pourquoi les contrôles sur lesquels la plupart des organisations s'appuient sont insuffisants, et ce qui fonctionne tant au niveau individuel qu'organisationnel.
Comment fonctionnent les extensions de navigateur et pourquoi elles sont vulnérables
Je serai bref sur les définitions, mais en résumé, les extensions de navigateur étendent les fonctionnalités de votre navigateur de manière ludique en installant des logiciels dotés de privilèges de navigateur importants.
Les extensions sont basées sur des API web et s'exécutent au sein même du processus du navigateur. Un fichier manifest.json déclare les autorisations que l'extension demande au moment de l'installation. Les service workers en arrière-plan s'exécutent de manière persistante, gérant les requêtes réseau et la communication avec des serveurs externes. Les scripts de contenu s'injectent séparément dans le DOM de la page, donnant à une extension un accès direct à tout ce qui est rendu dans le navigateur.
Lorsque vous accordez à une extension l'accès à "tous les sites", vous lui donnez un accès en lecture et en écriture à chaque page chargée par le navigateur, y compris les sessions authentifiées, les champs de formulaire et les réponses API en transit. Elles peuvent voir beaucoup de choses. Les extensions ne peuvent pas ouvrir directement le coffre-fort d'un gestionnaire de mots de passe, mais elles n'en ont pas besoin. Avec les bonnes autorisations d'hôte et l'injection de scripts de contenu, elles peuvent intercepter les événements de remplissage automatique et lire les valeurs des champs de formulaire avant leur soumission. Elles peuvent capturer les identifiants au fur et à mesure que vous les saisissez si les mots de passe sont en clair dans le code source HTML (ce qui arrive plus souvent qu'on ne l'espère)).
Un autre problème de sécurité avec les extensions de navigateur est qu'elles se mettent à jour silencieusement et automatiquement, sans aucune demande de consentement. Contrairement à la plupart des logiciels qui vous sollicitent pour approuver les mises à jour, la seule fois où une extension vous notifiera, c'est si elle a besoin d'autorisations supplémentaires au-delà de celles qu'elle possède déjà. Une extension qui était saine le mois dernier pourrait recevoir une mise à jour malveillante ce soir, et chaque utilisateur l'ayant installée la recevrait automatiquement.
Pourquoi les extensions de navigateur sont-elles utilisées pour des attaques ?
On dit que “le navigateur est le nouveau bureau” depuis au moins le lancement de Chrome, et ce n'est pas loin de la réalité pour les développeurs. Si cela est vrai, alors les extensions sont les applications qui s'exécutent sur ce bureau, avec un accès aux consoles GitHub et AWS.
Les cookies sont l'un des éléments vulnérables. Les cookies de session peuvent être exfiltrés et rejoués, donnant à un attaquant l'accès à tout ce à quoi la victime est authentifiée, depuis n'importe où. Ainsi, pour un attaquant, un accès persistant aux sessions de navigateur authentifiées est très précieux. Glassworm est une attaque de chaîne d'approvisionnement en cours qui a compromis des centaines de projets sur GitHub, npm et VS Code. Dans un développement de 2026, découvert par l'équipe de recherche en sécurité d'Aikido, la campagne a déployé un malware qui a spécifiquement installé une extension de navigateur pour voler les cookies de session et les jetons des sessions de navigateur. L'attaquant savait qu'une extension serait un moyen facile de voler ces données !
Il est également relativement facile de créer et de publier de mauvaises extensions. Pour la plupart, le processus de vérification du Chrome Web Store est minimal, et les mises à jour des extensions déjà publiées reçoivent peu d'examen après la révision initiale. Par exemple, des chercheurs en Inde ont créé et soumis de véritables extensions malveillantes au Chrome Web Store et au Firefox Add-ons Store entre janvier et mars 2025, et plusieurs ont été acceptées. Ils ont testé neuf types d'extensions couvrant le vol de cookies, l'enregistrement de frappes (keylogging), la capture d'écran, le suivi de l'historique de navigation, l'activation de la caméra, l'injection de publicités et l'accès à la boîte de réception Gmail. Firefox a laissé passer presque tout, surtout lorsque le comportement malveillant était intégré dans un outil se présentant comme un outil de productivité.
Les extensions peuvent également être achetées et vendues discrètement. The Great Suspender est le récit emblématique d'un transfert de propriété qui a mal tourné. C'était une extension de gestion d'onglets appréciée et largement installée. L'auteur, épuisé par des années de maintenance de l'extension sans rémunération, l'a vendue à quelqu'un d'autre (l'histoire classique des mainteneurs sous-estimés). Le nouveau propriétaire a poussé des mises à jour qui ont introduit le suivi et l'injection de publicités. Au moment où les chercheurs ont signalé le nouveau comportement, elle était présente sur des millions de navigateurs depuis des semaines.
Quelles sont les cyberattaques impliquant des extensions de navigateur ?
Les extensions de navigateur ont été impliquées dans des attaques majeures ces dernières années. Certaines contenaient des charges utiles malveillantes, d'autres ont été simplement compromises.
Prenons la violation de données de Vercel plus tôt cette année. Un employé de Vercel avait précédemment installé l'extension Chrome de Context.ai et lui avait donné un accès OAuth à son Google Workspace. Ensuite, un employé de Context.ai a installé un malware et compromis leurs comptes. Le malware a volé les identifiants et les jetons OAuth stockés dans le backend de Context.ai, y compris le jeton OAuth de Vercel, puis l'attaquant a utilisé ce jeton pour s'introduire dans les systèmes internes de Vercel.
Bien que d'autres pratiques non sécurisées soient en jeu ici, telles que le fait de ne pas examiner et révoquer les autorisations OAuth trop puissantes et de longue date, ainsi que les variables d'environnement qui auraient dû être marquées comme sensibles, l'extension Chrome a été le point d'entrée. L'extension elle-même n'était pas malveillante, mais elle avait accès à des données sensibles et a été compromise.
La violation de données de Cyberhaven fin 2024 est l'histoire d'une extension devenue un malware, où l'extension Chrome de Cyberhaven a été compromise via une attaque de phishing sur un compte développeur. Une mise à jour malveillante a été poussée à tous les utilisateurs et est restée active pendant 24 heures avant que quiconque ne la détecte.
Dans les deux cas, l'accès via l'extension de navigateur a été la première étape qui a rendu tout le reste possible.
Pourquoi les contrôles de sécurité des extensions de navigateur échouent
De nombreuses organisations n'ont aucune politique formelle concernant les extensions. Celles qui en ont essaient souvent soit de tout bloquer (ce que les développeurs et les personnes averties en technologie contournent simplement), soit de s'appuyer sur une liste blanche maintenue manuellement qui est toujours quelque peu obsolète.
Maintenir cette liste organisée et à jour présente des obstacles évidents. Environ la moitié des auteurs d'extensions sont inconnus et ne sont validés qu'avec une adresse Gmail, et 4 éditeurs sur 5 n'ont qu'une seule extension. Ainsi, la gestion des extensions basée sur la réputation ne fonctionne que pour une petite partie d'entre elles, et même de grandes entreprises publient des extensions qui ne sont pas irréprochables.
Des chercheurs, dans le cadre d'un rapport de recherche anonyme, ont détecté 287 extensions, totalisant 37,4 millions d'installations, exfiltrant l'historique de navigation. La seule façon de les détecter était l'analyse comportementale du trafic ; la simple lecture des descriptions ne les aurait donc pas signalées. Bon nombre des extensions impliquées étaient des noms familiers.
Sans compter que les extensions peuvent se mettre à jour ou changer de propriétaire en toute discrétion. Il est impossible de rester à jour avec un processus manuel de révision des extensions.
Comment sécuriser les extensions de navigateur
Les extensions de navigateur présentent un risque assez élevé de par leur fonctionnement, mais nous disposons de moyens pour les utiliser de manière plus sûre, sans les bannir totalement.
Au niveau individuel, voici quelques précautions simples à prendre :
- Vérifiez les extensions actuellement installées sur votre navigateur et examinez leurs permissions. Les extensions peuvent évoluer au fil du temps sans vous en informer, il est donc judicieux de revoir celles que vous avez installées il y a des années et que vous n'avez pas consultées depuis.
- Désinstallez les extensions dont vous n'avez pas besoin ou qui ont des permissions trop étendues. Une extension qui nécessite un accès à tous les sites pour formater des feuilles de calcul devrait au moins susciter des interrogations. Vous pouvez vérifier quelles applications, y compris les extensions, ont accès à votre compte Google sur leur page de permissions de compte.
- Évitez d'installer les extensions qui demandent trop de permissions. Soyez sceptique vis-à-vis des extensions avec des permissions étendues provenant d'éditeurs petits ou inconnus.
- Les profils de navigateur peuvent isoler le travail sensible de la navigation générale, ce qui limite la surface d'attaque en cas de problème. Séparez votre travail de votre profil de navigateur personnel.
- Traitez l'installation des extensions avec la même rigueur que vous appliqueriez à une dépendance npm. Faites vos recherches.
Ce qui précède fonctionne bien pour votre ordinateur personnel ou une petite équipe, mais cela ne s'adapte pas vraiment, et il n'est pas non plus possible de l'appliquer à l'échelle d'une entreprise. Au niveau organisationnel, les systèmes efficaces se présentent comme suit :
- Blocage avant l'installation basé sur un flux de renseignement sur les menaces en temps réel plutôt que sur une liste statique mise à jour manuellement.
- Analyse continue des extensions pour détecter rapidement les changements de comportement.
- Visibilité à l'échelle de l'entreprise pour savoir ce qui est installé avant qu'un problème ne survienne.
- Des politiques qui tiennent compte du fait que l'ingénierie, les ventes et la finance ont des profils de risque et des besoins différents.
- Éduquez tout le monde sur les meilleures pratiques individuelles en partageant des blogs comme ceux-ci et en mettant en œuvre des formations en sécurité (Riot propose un bon produit pour cela).
Tous les outils de gestion des appareils ne prennent pas en charge ce type de gestion des extensions de navigateur, vous devez donc vérifier les fonctionnalités de votre outil MDM pour voir s'il les couvre.
Aikido Endpoint est une solution qui s'inscrit dans ce modèle pour la sécurité des extensions de navigateur. C'est un agent léger conçu pour la surface d'attaque des appareils des développeurs qui couvre ces aspects. Il bloque les extensions malveillantes connues avant leur installation, impose un délai de 48 heures sur les extensions nouvellement publiées, et offre aux équipes de sécurité une visibilité sur ce qui est installé sur chaque appareil de développeur, avec des contrôles de politique au niveau de l'équipe et un flux d'approbation qui maintient les développeurs opérationnels. La couverture s'étend au-delà des extensions de navigateur pour inclure npm, PyPI, les extensions d'IDE et les marketplaces d'agents IA.
Arrêtez la prochaine attaque par extension de navigateur
La violation de données de Vercel ne sera pas le dernier incident où les extensions de navigateur feront partie de la chaîne d'attaque. La surface d'attaque est tout simplement trop précieuse, il est donc impératif que les individus et les entreprises soient préparés.
La même rigueur appliquée aux dépendances open source doit également s'appliquer ici, et les organisations qui l'aborderont de cette manière seront dans une bien meilleure position que celles qui attendront un incident pour engager la discussion.
En savoir plus sur Aikido Endpoint ou explorer le flux Aikido Intel pour voir ce qui a été détecté en temps réel dans les écosystèmes open source.
{{cta}}
FAQ
Qu'est-ce qui fait des extensions de navigateur un risque de sécurité ?
Les extensions de navigateur s'exécutent au sein du processus du navigateur lui-même et peuvent demander des permissions étendues lors de l'installation. Une extension ayant accès à tous les sites peut lire le contenu des pages, intercepter les requêtes réseau et accéder aux sessions authentifiées pour toutes vos activités dans le navigateur. Cela inclut les outils internes, les consoles cloud et toutes les informations d'identification ou jetons qui transitent par une page. Le modèle de permissions est puissant par conception, et cette puissance est ce qui rend les extensions attrayantes pour les attaquants.
Une extension de navigateur peut-elle voler mes mots de passe ?
Pas toujours directement, mais souvent de manière efficace. Les extensions ne peuvent pas ouvrir le coffre-fort chiffré d'un gestionnaire de mots de passe, mais elles n'en ont pas besoin. Avec les bonnes permissions d'hôte et l'injection de scripts de contenu, une extension peut intercepter les événements de remplissage automatique et lire les valeurs des champs de formulaire avant la soumission. Si des informations d'identification apparaissent en texte clair dans le code source HTML à un moment donné, une extension ayant accès aux scripts de contenu peut les lire. Une extension malveillante suffisamment privilégiée peut capturer les informations d'identification au fur et à mesure que vous les saisissez.
Les extensions de navigateur se mettent-elles à jour automatiquement ?
Oui, et sans demander votre consentement ! Contrairement à la plupart des logiciels qui vous invitent à approuver une mise à jour, les extensions de navigateur se mettent à jour silencieusement en arrière-plan. La seule exception est lorsqu'une mise à jour demande des autorisations supplémentaires au-delà de celles initialement accordées. Une extension saine qui reçoit une mise à jour malveillante ce soir propagera automatiquement cette mise à jour à chaque utilisateur. Vous n'auriez aucun moyen de le savoir à moins de surveiller activement le comportement de l'extension.
Comment savoir si une extension de navigateur est sûre à installer ?
Il n'y a pas de signal unique et fiable, mais vous pouvez vérifier quelques éléments. Examinez les autorisations que l'extension demande et si elles correspondent à ce que l'extension a réellement besoin de faire. Vérifiez si l'éditeur est bien connu. En cas de doute, traitez cette décision comme vous traiteriez l'ajout d'une dépendance inconnue à une base de code de production.
Pourquoi la détection des endpoints ne détecte-t-elle pas l'activité malveillante des extensions de navigateur ?
La plupart des outils Endpoint Detection and Response (EDR) ne détectent pas les menaces liées aux extensions de navigateur, car tout ce qu'une extension malveillante fait ressemble à des activités normales de Chrome. Les requêtes réseau et l'accès au DOM se produisent au sein du processus du navigateur et sont indiscernables d'une activité légitime du navigateur au niveau du système.
Comment gérer la sécurité des extensions de navigateur ?
Les organisations devraient privilégier les contrôles basés sur le comportement plutôt que les contrôles basés sur l'identité. Le maintien d'une liste blanche manuelle d'extensions approuvées ne tient pas compte des mises à jour silencieuses ou des transferts de propriété. Ce qui fonctionne, c'est le blocage avant l'installation basé sur un flux de renseignement sur les menaces (threat intelligence) continuellement mis à jour, la surveillance comportementale continue pour détecter les modifications apportées aux extensions déjà installées, et une visibilité à l'échelle de l'entreprise sur ce qui est réellement installé sur les appareils. Les politiques doivent également tenir compte du fait que l'ingénierie, les ventes et la finance ont des profils de risque et des besoins en extensions différents.
Les extensions Chrome sont-elles sûres ? Les extensions Chrome ne sont pas intrinsèquement dangereuses, mais elles comportent un risque réel de par leur conception. Le modèle d'autorisations donne aux extensions un accès étendu à l'activité du navigateur, et le processus de vérification du Chrome Web Store est minimal. Une extension qui semble correcte au moment de l'installation peut recevoir une mise à jour malveillante, être vendue à un nouveau propriétaire ou être compromise via le compte de son développeur. La sécurité dépend fortement de l'extension spécifique, de son éditeur et des autorisations qu'elle demande.
Les entreprises peuvent-elles surveiller les extensions de navigateur ? La plupart des organisations ont une visibilité limitée sur les extensions installées sur leur parc et sur ce que ces extensions font. Les outils MDM peuvent appliquer des listes blanches, mais ne détectent pas les changements de comportement après l'installation. Les outils EDR manquent la plupart des activités d'extension car elles sont indiscernables du comportement normal du navigateur au niveau du système. Un outillage dédié qui réside sur l'appareil et vérifie les installations par rapport à un flux de renseignement sur les menaces (threat intelligence) en direct est l'approche la plus fiable actuellement disponible.
Comment Aikido Endpoint contribue-t-il à la sécurité des navigateurs ?
Aikido Endpoint réside sur l'appareil et inspecte chaque installation d'extension avant qu'elle ne se produise, bloquant automatiquement les extensions malveillantes connues grâce à Aikido Intel, un flux de renseignement sur les menaces (threat intelligence) continuellement mis à jour. Il applique également un blocage de 48 heures sur les extensions nouvellement publiées, période pendant laquelle les nouvelles menaces sont les plus susceptibles de passer inaperçues. Les équipes de sécurité obtiennent une visibilité sur ce qui est installé sur chaque appareil de développeur, avec des contrôles de politique au niveau de l'équipe et un flux de travail d'approbation qui maintient les développeurs débloqués. La surveillance des extensions de navigateur est incluse dans le niveau payant d'Endpoint, aux côtés de la couverture pour npm, PyPI, les extensions IDE et les marketplaces d'agents AI.
