Trois extensions. C’est ce que j’avais oublié dans un coin de Chrome depuis deux ans : un bloqueur de pub secondaire, un outil de capture d’écran et une extension de « productivité » dont je ne me rappelais même plus l’usage exact. En ouvrant leur liste de permissions ce matin, une seule d’entre elles m’a laissé tranquille. Les deux autres réclamaient un accès à toutes les données sur tous les sites web visités. Chaque page. Sans exception.
Ce n’est pas un cas isolé, loin de là.
À retenir
- Vos extensions Chrome de deux ans peuvent collecter vos données sans vous le dire
- Des extensions piratées lors de mises à jour silencieuses transforment des outils honnêtes en mouchards
- Le badge ‘Recommandée’ du Chrome Web Store ne garantit rien sur le comportement réel du code
Le Chrome Web Store, un supermarché pas si surveillé
Une étude menée par Q Continuum a révélé que 287 extensions Chrome subtilisent l’historique de navigation de plus de 37 millions d’utilisateurs. Trente-sept millions. Pour contextualiser : ces données sont ensuite revendues à des courtiers spécialisés dans l’analyse comportementale, et cela représente environ 1 % de l’ensemble des utilisateurs Chrome dans le monde. Un pour cent qui ne sait pas, qui n’a jamais consenti, et qui continue à surfer tranquillement.
Ce qui rend la situation particulièrement tordue, c’est que le problème ne vient pas uniquement d’extensions clairement malveillantes créées par des inconnus. En février 2025, l’équipe GitLab Threat Intelligence a identifié au moins 16 extensions Chrome malveillantes visant 3 millions d’utilisateurs : elles étaient légitimes, installées via les stores officiels du navigateur, mais ensuite piratées par des « mises à jour » malveillantes. : une extension parfaitement honnête aujourd’hui peut devenir un mouchard demain, sans que vous receviez la moindre notification.
Si Google et Microsoft soumettent les nouvelles extensions à des contrôles rigoureux, les mises à jour d’extensions existantes bénéficient d’une surveillance bien plus lâche. C’est dans cet angle mort que des groupes malveillants s’engouffrent. Ce mécanisme est presque élégant dans sa perversité : la confiance accordée à l’installation initiale n’est jamais remise en question.
Ce que vos permissions autorisent vraiment
Les extensions impliquées sollicitent des permissions anormalement étendues via leur fichier manifest.json. Grâce à ce fichier, elles obtiennent un accès total aux sites visités par l’utilisateur, pouvant interagir avec les pages web, intercepter des données ou injecter du contenu malveillant. Mais la partie visible, le petit pop-up d’installation qui dit « peut lire et modifier vos données sur tous les sites » — est quasi universellement cliquée sans être lue.
Certaines injectent des scripts invisibles dans les pages web que vous visitez, interceptant ainsi toutes les données sensibles que vous pourriez saisir. Mots de passe, champs de formulaire, conversations avec des chatbots IA : tout ce que vous tapez sur une page peut potentiellement passer entre les mains d’un tiers. Les modules peuvent détourner des liens d’affiliation, injecter des iframes publicitaires invisibles et surveiller vos habitudes de navigation pour dresser un profil publicitaire détaillé.
Le cas le plus retors documenté récemment : la campagne ShadyPanda a transformé des extensions Chrome et Edge populaires en outils d’espionnage pour plus de 4,3 millions d’utilisateurs, via des mises à jour silencieuses. Ces extensions collectaient massivement des données sensibles, interceptaient les frappes clavier, historiques, cookies et même certaines données biométriques, avec la possibilité d’exécuter du code à distance.
Un chiffre qui fait froid dans le dos : l’une des extensions malveillantes concernées, téléchargée plus de 600 000 fois, affichait même un badge officiel « Recommandée ». Le badge de confiance, rassurant visuellement, ne garantit absolument rien sur le comportement réel du code.
Comment faire le ménage (vraiment, pas juste en théorie)
Aller sur chrome://extensions dans la barre d’adresse. C’est la première étape, et elle prend trente secondes. Un ménage régulier via l’adresse chrome://extensions est fortement recommandé pour vérifier et supprimer tout ce qui paraît suspect. Pour chaque extension listée, cliquez sur « Détails » puis « Permissions du site », vous verrez exactement ce qu’elle peut faire et sur quels sites.
La question à se poser pour chaque extension : est-ce que cette fonctionnalité justifie cet accès ? Un jeu n’a aucune raison d’accéder à toutes vos données web, si c’est le cas, c’est un signal d’alarme. Les extensions de type « productivité » ou « résumé d’article » requièrent souvent des permissions étendues sans justification utile.
Certains comportements malveillants peuvent être difficiles à détecter automatiquement, ou apparaître seulement après une mise à jour. Une extension légitime aujourd’hui peut évoluer vers un modèle plus intrusif. C’est précisément pour ça que l’audit doit être régulier, pas ponctuel. Mettre un rappel dans son calendrier tous les six mois prend moins de cinq secondes, et le bénéfice potentiel est considérable.
Quelques réflexes concrets à adopter dès maintenant :
- Supprimer toute extension non utilisée depuis plus de trois mois
- Refuser systématiquement les permissions « sur tous les sites » pour des outils qui n’en ont pas besoin
- Lire les avis récents (derniers 30 jours), pas la note globale qui peut être ancienne
- Désactiver les mises à jour automatiques d’extensions si vous êtes à l’aise techniquement
Le modèle économique qu’on ne voit pas
Derrière les extensions franchement malveillantes, il y a une zone grise encore plus massive : celle de la collecte légale, ou quasi-légale, de données de navigation. Des recherches académiques ont démontré qu’en croisant l’historique de navigation avec des profils publics sur les réseaux sociaux, il devient possible d’identifier les personnes derrière les données. L’anonymisation promise par ces entreprises s’avère donc souvent illusoire face aux techniques modernes de ré-identification.
Le Chrome Web Store dispose théoriquement d’une politique censée empêcher le partage de données avec des courtiers en données, mais cette politique comporte une exception exploitable par des entreprises peu scrupuleuses. Le résultat : des extensions violent l’esprit de cette règle tout en respectant formellement sa lettre. C’est le genre de situation où tout est « conforme » et pourtant parfaitement contraire aux intérêts de l’utilisateur.
Ce n’est pas de la paranoïa : les développeurs d’extensions populaires font face à des sollicitations constantes de la part d’acheteurs intéressés par l’insertion de scripts de collecte de données. Un développeur indépendant qui maintient une extension gratuite depuis des années peut très bien finir par vendre, non pas l’extension elle-même, mais l’accès à ses utilisateurs. Sans que personne ne soit prévenu. La prochaine mise à jour automatique, et le tour est joué.
Sources : securite.developpez.com | frenchbreaches.com