Risques de sécurité des extensions de navigateur : comment les add-ons volent vos données
Découvrez comment les extensions malveillantes volent les mots de passe, injectent des publicités et suivent votre navigation. Cas réels sur le Chrome Web Store, signaux d'alerte dans les permissions et comment auditer vos extensions.
Risques de sécurité des extensions de navigateur : comment les add-ons volent vos données
Bloqueurs de publicités, gestionnaires de mots de passe, correcteurs orthographiques, dénicheurs de coupons. La plupart des gens installent des extensions de navigateur sans trop y réfléchir. C'est pratique. Mais chaque extension est un logiciel qui s'exécute à l'intérieur du navigateur et, selon les permissions accordées, elle peut accéder à pratiquement tout ce que vous faites en ligne.
Le problème, c'est que toutes les extensions ne sont pas conçues avec de bonnes intentions. Certaines sont créées dès le départ pour collecter des données. D'autres commencent comme des outils légitimes, puis sont vendues à des entreprises douteuses qui diffusent des mises à jour malveillantes. Les processus de vérification du Chrome Web Store et des autres boutiques sont loin d'être infaillibles.
Comment les extensions accèdent à vos données
Lorsque vous installez une extension, vous lui accordez des permissions. Ces permissions déterminent ce que l'extension peut voir et faire.
- Lire et modifier toutes vos données sur tous les sites web : peut voir chaque page visitée, chaque formulaire rempli, chaque mot de passe saisi
- Lire votre historique de navigation : accès complet à toutes les URL que vous avez visitées
- Gérer vos téléchargements : peut déclencher des téléchargements ou lire votre historique de téléchargements
- Modifier les données copiées et collées : peut intercepter les mots de passe et autres contenus sensibles dans le presse-papiers
- Communiquer avec des applications natives : peut interagir avec des logiciels en dehors du navigateur
La plupart des utilisateurs cliquent sur "Ajouter à Chrome" sans lire la liste des permissions. Ce simple clic peut donner à un développeur inconnu l'accès à vos sessions bancaires, comptes de messagerie et tous vos mots de passe.
Cas réels d'extensions malveillantes
Ce ne sont pas des scénarios hypothétiques. Ce sont des cas documentés d'extensions prises en flagrant délit de vol de données.
The Great Suspender (2021)
Cette extension Chrome populaire comptant plus de 2 millions d'utilisateurs a été vendue à une entité inconnue. Le nouveau propriétaire a diffusé une mise à jour contenant du code malveillant qui suivait la navigation et injectait des publicités. Google l'a finalement retirée du Chrome Web Store.
DataSpii (2019)
Des chercheurs en sécurité ont découvert que plusieurs extensions populaires, dont Hover Zoom et SpeakIt, collectaient chaque URL visitée par leurs utilisateurs et vendaient les données à une société d'analyse. Les données collectées comprenaient des déclarations d'impôts, des informations de patients, des itinéraires de voyage et d'autres documents privés.
Web Developer for Chrome (2017)
Un compte de développeur piraté a été utilisé pour diffuser une mise à jour malveillante auprès de plus d'un million d'utilisateurs. La version compromise injectait des publicités dans chaque page web visitée.
Nano Adblocker et Nano Defender (2020)
Après avoir été vendus à de nouveaux développeurs, ces bloqueurs de publicités populaires ont été mis à jour avec du code qui collectait les données de navigation et manipulait les comptes de réseaux sociaux, affectant plus de 300 000 utilisateurs.
Signaux d'alerte dans les permissions
Toutes les permissions ne sont pas dangereuses, mais certaines devraient vous faire réfléchir avant d'installer.
| Permission | Niveau de risque | Pourquoi c'est important |
|---|---|---|
| Lire et modifier toutes les données sur tous les sites | Élevé | Accès total à tout dans le navigateur |
| Lire l'historique de navigation | Élevé | Registre complet de tous les sites visités |
| Gérer les téléchargements | Moyen | Peut déclencher des téléchargements indésirables |
| Modifier les données du presse-papiers | Élevé | Peut voler les mots de passe et textes sensibles copiés |
| Lire et modifier les favoris | Faible | Impact limité sur la vie privée |
| Afficher des notifications | Faible | Peut être agaçant mais pas dangereux |
| Gérer les applications, extensions et thèmes | Élevé | Peut installer ou modifier d'autres extensions |
Règle de base : si un outil simple (comme un sélecteur de couleur ou un outil de capture d'écran) demande la permission de lire toutes vos données sur tous les sites, c'est suspect. Les permissions doivent correspondre à la fonctionnalité.
Comment auditer vos extensions
Chrome
- Tapez
chrome://extensions/dans la barre d'adresse - Examinez chaque extension et cliquez sur "Détails" pour vérifier les permissions
- Supprimez tout ce que vous ne reconnaissez pas ou n'utilisez plus
- Pour chaque extension conservée, vérifiez : vient-elle d'un développeur connu ? Quand a-t-elle été mise à jour pour la dernière fois ? Les permissions correspondent-elles à la fonctionnalité ?
Firefox
- Tapez
about:addonsdans la barre d'adresse - Cliquez sur chaque extension pour examiner ses permissions
- Firefox affiche un détail complet des permissions lors de l'installation. Si vous l'avez manqué, consultez la page de l'extension sur addons.mozilla.org
Edge
- Tapez
edge://extensions/dans la barre d'adresse - Même processus que Chrome. Edge utilise le même format d'extensions, le système de permissions est donc identique
Safari
- Allez dans Safari > Réglages > Extensions
- Chaque extension indique à quels sites elle a accès
- Safari restreint les extensions plus strictement que Chrome, mais vérifiez quand même ce qui est installé
Faites cet audit tous les 3 mois. Les extensions peuvent changer de propriétaire et recevoir des mises à jour malveillantes à tout moment.
Bonnes pratiques pour la sécurité des extensions
- Installez le strict minimum : gardez uniquement ce dont vous avez vraiment besoin. Chaque extension est une surface d'attaque potentielle
- Privilégiez l'open source : des extensions comme uBlock Origin ont un code public que les chercheurs en sécurité peuvent inspecter
- Vérifiez le développeur : une entreprise avec un site web et une réputation est plus fiable qu'un développeur anonyme
- Lisez les avis récents : une vague soudaine d'avis négatifs signale souvent une mise à jour malveillante ou un changement de propriétaire
- Vérifiez les permissions avant d'installer : si une extension de coupons demande à lire toutes vos données de navigation, cherchez-en une autre
- Mettez à jour votre navigateur : les mises à jour incluent souvent des correctifs de sécurité limitant les capacités des extensions
- Utilisez des profils de navigateur séparés : gardez un profil propre sans extension pour les opérations bancaires et les tâches sensibles
- Surveillez les changements de propriétaire : si vous recevez une notification de modification de la politique de confidentialité d'une extension, enquêtez immédiatement
Les informations sensibles méritent une meilleure protection
Les extensions de navigateur ne sont qu'une des voies par lesquelles vos données peuvent être compromises. Si vous partagez régulièrement des mots de passe, des codes d'accès ou des notes confidentielles via le navigateur, le risque se multiplie.
Au lieu de coller du texte sensible dans WhatsApp, où il reste dans l'historique de conversation pour toujours et où une extension malveillante pourrait l'intercepter, utilisez un outil dédié. LOCK.PUB vous permet de créer un lien protégé par mot de passe pour n'importe quel texte, avec un délai d'expiration. Le destinataire ouvre le lien, entre le mot de passe et lit le contenu. Aucune extension ne peut le récupérer dans un historique de conversation puisqu'il n'y a jamais été.
Prenez le contrôle de la sécurité de votre navigateur
Votre navigateur est la porte d'entrée de vos comptes les plus sensibles. Chaque extension installée ajoute un point de vulnérabilité potentiel. Auditez vos extensions aujourd'hui, supprimez ce dont vous n'avez pas besoin et soyez prudent dans vos futures installations. Pour partager des informations sensibles, utilisez des outils de confiance comme LOCK.PUB.
Mots-clés
À lire aussi
Le Wi-Fi de l'hôtel est-il sûr ? Ce qu'il faut savoir avant de se connecter
Découvrez les vrais risques du Wi-Fi d'hôtel et public, et comment protéger vos données personnelles. Attaques MITM, faux réseaux, VPN et bonnes pratiques.
Checklist securite pour l'integration des nouveaux employes
Liste de verification complete pour integrer les nouveaux employes en toute securite. Creation de comptes, politiques de mots de passe, configuration 2FA, formation et controle d'acces.
Comment stocker en securite vos codes de recuperation 2FA
Comprenez pourquoi les codes de recuperation 2FA sont importants, quelles methodes de stockage sont dangereuses et comment sauvegarder et partager vos codes en toute securite.
Créez votre lien protégé par mot de passe maintenant
Créez gratuitement des liens protégés, des notes secrètes et des chats chiffrés.
Commencer Gratuitement