Extensions de navigateur malveillantes : un angle mort de la sécurité
Les extensions Chrome et Edge ont accès à vos pages, cookies et parfois à tout le trafic HTTP. Voici comment les attaquants les distribuent, comment les détecter, et quelles politiques IT adopter.

Les navigateurs sont le poste de travail par défaut : messagerie web, SaaS, consoles cloud. Une extension installée une fois peut persister des mois, avec des permissions larges — lecture de toutes les pages, interception des requêtes, capture du presse-papiers. Les campagnes malveillantes exploitent ce canal de moins en moins surveillé par rapport aux binaires classiques.
Vecteurs de distribution
- Faux sites promettant un bloqueur de publicité, un « VPN gratuit » ou un thème.
- Typosquatting sur le Chrome Web Store (noms proches d’extensions populaires).
- Comptes développeur compromis ou reprise d’extensions abandonnées puis mises à jour avec du code obfusqué.
- Ingénierie sociale ciblant les équipes marketing ou support (« installez cette extension pour le webinaire »).
Permissions à red flag
Demander webRequest + host_permissions sur <all_urls>, clipboardRead, ou accès au fichier système doit déclencher une revue. Une extension « légitime » pour couper le son ne devrait pas lire vos sessions bancaires.
Contrôles organisationnels
- Liste autorisée d’extensions (Chrome Enterprise, Edge policies) pour les postes gérés.
- Inventaire et revue trimestrielle des extensions installées (EDR, scripts MDM).
- Séparation des profils : navigation personnelle vs professionnelle ; pas d’extensions non validées sur le profil pro.
- Sensibilisation : expliquer que l’extension voit souvent plus qu’un e-mail piégé.
Threat intelligence
Les infrastructures de commande et contrôle ou les domaines utilisés par des extensions malveillantes finissent souvent référencés dans les bases de réputation. En croisant les domaines contactés par une extension suspecte avec des services comme isMalicious, les équipes peuvent prioriser l’investigation et documenter l’incident pour retirer l’extension en masse.
Conclusion
La surface d’attaque « navigateur » grandit avec le modèle d’extensions. Réduire le risque combine gouvernance (allowlist), visibilité (inventaire) et CTI pour comprendre rapidement ce qu’une extension contacte lorsqu’elle sort de l’ordinaire.
Related articles
- Jul 4, 2026BlueHammer Defender Exploitation: July 2026 Patch SLA For Windows Fleets
BlueHammer coverage shows why endpoint patching, CISA KEV context, CVE Watch, and IOC enrichment have to work together when local privilege escalation becomes ransomware tradecraft.
Jun 15, 2026CISA KEV Adds Cisco, Chrome, And Arista Flaws: How To Prioritize Active ExploitationCISA added Cisco SD-WAN, Google Chromium V8, and Arista EOS vulnerabilities to KEV in June 2026. Here is how SOC and vulnerability teams should turn that signal into action.
Jun 4, 2026YellowKey and BitLocker Bypass: How Security Teams Should Re-Baseline Stolen-Device RiskYellowKey made a quiet assumption loud again: encrypted endpoints still need vulnerability intelligence, asset context, and incident workflows. Here is how to respond when a last-resort control becomes a live risk.
Protect Your Infrastructure
Check any IP or domain against our threat intelligence database with 500M+ records.
Try the IP / Domain Checker