Extensions de navigateur malveillantes : un angle mort de la sécurité
Jean-Vincent QUILICHINI
Les navigateurs sont le poste de travail par défaut : messagerie web, SaaS, consoles cloud. Une extension installée une fois peut persister des mois, avec des permissions larges — lecture de toutes les pages, interception des requêtes, capture du presse-papiers. Les campagnes malveillantes exploitent ce canal de moins en moins surveillé par rapport aux binaires classiques.
Vecteurs de distribution
- Faux sites promettant un bloqueur de publicité, un « VPN gratuit » ou un thème.
- Typosquatting sur le Chrome Web Store (noms proches d’extensions populaires).
- Comptes développeur compromis ou reprise d’extensions abandonnées puis mises à jour avec du code obfusqué.
- Ingénierie sociale ciblant les équipes marketing ou support (« installez cette extension pour le webinaire »).
Permissions à red flag
Demander webRequest + host_permissions sur <all_urls>, clipboardRead, ou accès au fichier système doit déclencher une revue. Une extension « légitime » pour couper le son ne devrait pas lire vos sessions bancaires.
Contrôles organisationnels
- Liste autorisée d’extensions (Chrome Enterprise, Edge policies) pour les postes gérés.
- Inventaire et revue trimestrielle des extensions installées (EDR, scripts MDM).
- Séparation des profils : navigation personnelle vs professionnelle ; pas d’extensions non validées sur le profil pro.
- Sensibilisation : expliquer que l’extension voit souvent plus qu’un e-mail piégé.
Threat intelligence
Les infrastructures de commande et contrôle ou les domaines utilisés par des extensions malveillantes finissent souvent référencés dans les bases de réputation. En croisant les domaines contactés par une extension suspecte avec des services comme isMalicious, les équipes peuvent prioriser l’investigation et documenter l’incident pour retirer l’extension en masse.
Conclusion
La surface d’attaque « navigateur » grandit avec le modèle d’extensions. Réduire le risque combine gouvernance (allowlist), visibilité (inventaire) et CTI pour comprendre rapidement ce qu’une extension contacte lorsqu’elle sort de l’ordinaire.
Related articles
Dec 11, 2024Understanding IP Maliciousness: A new way to protect your network.Discover how assessing the potential maliciousness of an IP can safeguard your systems against cyber threats. Learn about the indicators, methods, and tools that help identify malicious IPs and take proactive measures.
Jan 15, 2026Mobile App Security: Protecting iOS and Android ApplicationsMobile applications are prime targets for cybercriminals. Learn about common mobile security threats and how to protect your iOS and Android apps from reverse engineering and malware.
Jan 29, 2026Dark Web Monitoring: Protecting Your Brand and Detecting Leaked DataStolen credentials and sensitive data often surface on the dark web before being exploited. Learn how dark web monitoring helps detect breaches early and protect your organization from cybercriminal activities.
Protect Your Infrastructure
Check any IP or domain against our threat intelligence database with 500M+ records.
Try the IP / Domain Checker