Extensions de navigateur malveillantes : un angle mort de la sécurité
Les extensions Chrome et Edge ont accès à vos pages, cookies et parfois à tout le trafic HTTP. Voici comment les attaquants les distribuent, comment les détecter, et quelles politiques IT adopter.
Jean-Vincent QUILICHINI
Les navigateurs sont le poste de travail par défaut : messagerie web, SaaS, consoles cloud. Une extension installée une fois peut persister des mois, avec des permissions larges — lecture de toutes les pages, interception des requêtes, capture du presse-papiers. Les campagnes malveillantes exploitent ce canal de moins en moins surveillé par rapport aux binaires classiques.
Vecteurs de distribution
- Faux sites promettant un bloqueur de publicité, un « VPN gratuit » ou un thème.
- Typosquatting sur le Chrome Web Store (noms proches d’extensions populaires).
- Comptes développeur compromis ou reprise d’extensions abandonnées puis mises à jour avec du code obfusqué.
- Ingénierie sociale ciblant les équipes marketing ou support (« installez cette extension pour le webinaire »).
Permissions à red flag
Demander webRequest + host_permissions sur <all_urls>, clipboardRead, ou accès au fichier système doit déclencher une revue. Une extension « légitime » pour couper le son ne devrait pas lire vos sessions bancaires.
Contrôles organisationnels
- Liste autorisée d’extensions (Chrome Enterprise, Edge policies) pour les postes gérés.
- Inventaire et revue trimestrielle des extensions installées (EDR, scripts MDM).
- Séparation des profils : navigation personnelle vs professionnelle ; pas d’extensions non validées sur le profil pro.
- Sensibilisation : expliquer que l’extension voit souvent plus qu’un e-mail piégé.
Threat intelligence
Les infrastructures de commande et contrôle ou les domaines utilisés par des extensions malveillantes finissent souvent référencés dans les bases de réputation. En croisant les domaines contactés par une extension suspecte avec des services comme isMalicious, les équipes peuvent prioriser l’investigation et documenter l’incident pour retirer l’extension en masse.
Conclusion
La surface d’attaque « navigateur » grandit avec le modèle d’extensions. Réduire le risque combine gouvernance (allowlist), visibilité (inventaire) et CTI pour comprendre rapidement ce qu’une extension contacte lorsqu’elle sort de l’ordinaire.
Related articles
May 24, 2026CVE Watch : transformer le catalogue mondial en findings exploitables pour votre périmètreLe catalogue CVE global n’est utile que s’il devient local : périmètres, CPE, findings, statuts, export et suivi de remédiation.
May 24, 2026PoC, Exploit-DB et Nuclei : comment utiliser les signaux exploit sans perdre le contrôleLes preuves de concept et templates publics changent la priorité CVE, mais doivent être utilisés comme signaux défensifs, pas comme raccourcis risqués.
May 24, 2026CERT-FR, MSRC, GHSA et advisories fournisseurs : le contexte qui rend les CVE remédiablesLes advisories expliquent quoi corriger, quelle version viser, quel contournement appliquer et comment communiquer le risque CVE aux équipes.
Protect Your Infrastructure
Check any IP or domain against our threat intelligence database with 500M+ records.
Try the IP / Domain Checker