Dans l’ombre des pare-feu et des antivirus, une menace discrète mais redoutable prospère, les extensions de navigateur malveillantes. Souvent négligées par les équipes de sécurité, elles constituent pourtant une porte dérobée de choix pour le vol de sessions, l’espionnage, la fraude ou le détournement de cryptomonnaies. Des incidents retentissants, comme la compromission de l’extension de sécurité Cyberhaven, ont mis en lumière cette vulnérabilité persistante.

Pourquoi ces petits modules sont-ils si attractifs pour les pirates ? Parce qu’ils bénéficient d’un accès privilégié à nos données les plus sensibles (dossiers financiers, cookies, historiques) tout en échappant souvent aux radars des outils de sécurité traditionnels. Ils ne sont pas perçus comme des applications à part entière.

« La gestion des extensions nécessite une approche systématique », souligne Athanasios Giatsos, intervenant lors du Security Analyst Summit 2025. Un constat qui appelle à une stratégie de défense organisée. Découvrons l’analyse Kaspersky de cette menace insidieuse.

Vos extensions de navigateur voient tout : le risque caché dans votre barre d’outils

Une extension de navigateur peut lire et modifier tout ce que vous voyez sur une page web. Elle accède aussi à l’envers du décor, cookies, stockage local, paramètres réseau. Certaines vont plus loin, en capturant votre localisation, le contenu de votre presse-papiers, ou même en prenant des captures d’écran de votre bureau.

Face à ce risque, l’industrie a tenté de réagir. Google a introduit Manifest V3, une nouvelle architecture visant à limiter les abus, notamment en empêchant l’exécution de code tiers chargé à la volée. Si cette évolution complique la tâche des malfaiteurs, elle est loin d’être une solution miracle. Les cybercriminels adaptent leur code, et le problème fondamental persiste, une extension, même issue d’une boutique officielle (Google, Microsoft, Mozilla), est difficile à distinguer d’une action légitime de l’utilisateur.

Comment une extension de navigateur devient-elle malveillante ?

La menace peut surgir de plusieurs façons, un constat partagé par Athanasios Giatsos lors du Security Analyst Summit 2025 et repris dans l’analyse de Kaspersky :

La reprise malveillante : une extension légitime est rachetée, puis « enrichie » de code nuisible. Ce fut le cas de The Great Suspender. Le compte développeur piraté : des hackers publient une mise à jour infectée d’une extension existante, à l’instar de l’affaire Cyberhaven. L’imposture dès l’origine : l’extension est conçue pour être malveillante, imitant un outil utile (comme un faux client pour Google Drive) ou une extension populaire (comme les nombreux clones d’AdBlock). La trogne lente : l’extension est publiée propre, puis, après avoir gagné en popularité, reçoit une mise à jour malveillante plusieurs mois plus tard, comme observé avec ChatGPT pour Google.

Le système de distribution et de mises à jour automatiques des boutiques officielles amplifie le danger, un utilisateur peut se retrouver infecté sans avoir rien fait de plus.

Cybersécurité : un plan de défense en 5 étapes pour neutraliser la menace des extensions

Pour contrer cette menace, les organisations doivent adopter une posture proactive. Voici les recommandations clés, issues de l’intervention et complétées par des conseils pratiques :

1. Établir une politique stricte

Interdire toute extension non explicitement approuvée par les équipes Cybersécurité et IT. Cette politique doit être communiquée et expliquée aux employés.

2. Verrouiller l’environnement :

Limiter l’usage au navigateur officiel de l’entreprise et interdire les versions portables ou les navigateurs « à la mode » non autorisés.

Désactiver le « mode développeur » et l’installation d’extensions via des fichiers locaux.

et l’installation d’extensions via des fichiers locaux. Réserver les privilèges d’administrateur local au strict nécessaire.

3. Maîtriser les mises à jour

Ne pas laisser les mises à jour s’installer automatiquement. Les équipes IT doivent tester les nouvelles versions des extensions approuvées avant leur déploiement.

4. Superviser en continu

Utiliser des solutions EDR (Endpoint Detection and Response) et SIEM pour collecter des informations sur les postes de travail, liste des extensions installées, leurs versions, leurs autorisations. Cela permet de détecter toute nouvelle installation ou modification suspecte.

5. Adopter une défense multicouche

Combiner l’EDR, le filtrage DNS et la surveillance du trafic réseau pour bloquer les communications avec des serveurs malveillants et empêcher l’accès à des sites de phishing.

Comment évaluer et vérifier une extension ? Les recommandations de Kaspersky

Selon le rapport de Kaspersky, créer et tenir à jour une liste d’extensions autorisées est crucial. Pour évaluer le risque d’une extension, l’équipe sécurité ne doit pas se contenter des boutiques officielles. Elle peut s’appuyer sur des outils spécialisés :

Services d’évaluation de risque : des plateformes comme Spin.AI ou Koidex (ex-ExtensionTotal) analysent automatiquement les extensions, fournissant un profil de risque, les autorisations requises, l’historique du développeur et des résumés générés par IA.

: des plateformes comme ou (ex-ExtensionTotal) analysent automatiquement les extensions, fournissant un profil de risque, les autorisations requises, l’historique du développeur et des résumés générés par IA. Outils d’investigation : Chrome-Stats permet de télécharger les versions actuelles et passées d’une extension pour analyse. Pour aller plus loin, CRX Viewer permet aux analystes d’examiner le code interne (HTML, JavaScript) d’une extension suspecte.

La leçon est claire, face à la menace insidieuse des extensions, la confiance ne suffit pas. Seule une vérification systématique, couplée à une stratégie de contrôle rigoureuse, peut protéger les données et les sessions des collaborateurs. Dans le paysage cyber actuel, négliger ces petits modules, c’est peut-être laisser la porte grande ouverte au pire.

