Ces dernières semaines, la communauté de sécurité a re-éclairé les alarmes sur un ennemi silencieux que beaucoup d'utilisateurs sous-estiment : les extensions de navigateur. Ce qui à première vue semble de petits profits pour gagner du temps ou ajouter des fonctions - des générateurs de code aux assistants intelligents - est utilisé par les acteurs malveillants pour voler des informations précieuses sans être remarqué par ceux qui les installent.
Un cas récent et particulièrement inquiétant a été une extension qui a été promu comme un outil pour exploiter confortablement Meta Business Suite et Facebook Business Manager. Recherche Socket Ils ont analysé cette extension et constaté qu'en plus de fonctions apparemment légitimes comme la génération de codes 2FA ou la suppression de fenêtres de vérification, leur code a recueilli des secrets TOTP (semences qui génèrent des codes temporaires) et des codes à usage unique, ainsi que les exportations et les données analytiques de la section « Personnes » du gestionnaire d'entreprise. Tout cela a été envoyé à une infrastructure contrôlée par l'attaquant, avec des options pour envoyer des informations aux canaux Telegram. Une extension avec seulement des dizaines d'installations peut offrir la clé pour des comptes et des contacts de grande valeur, car il permet d'identifier des objectifs intéressants et de se préparer aux attaques ultérieures.
La technique n'est pas nouvelle : les attaquants profitent que les extensions, une fois autorisées par l'utilisateur, peuvent interagir avec les pages authentifiées et lire le contenu qui reste dans le contexte du navigateur. Par conséquent, même si l'extension ne vole pas explicitement les mots de passe, si l'adversaire a déjà des identifiants par d'autres moyens - par exemple, à partir d'infostealers ou de fuites - la capacité de capturer les codes 2FA facilite l'accès non autorisé. Pour comprendre la portée technique et les preuves, la recherche de Socket fournit des détails qui devraient être soigneusement examinés si vous gérez des comptes de publicité ou d'administration dans Meta.
En parallèle, un autre rapport en suspens provient de Sécurité Koi, qui a documenté une campagne massive contre les utilisateurs de VKontakte. Là, des extensions déguisées en thèmes ou téléchargements de musique injecté JavaScript opusqué sur chaque page VK, automatiquement souscrit des utilisateurs à des groupes contrôlés par l'attaquant, manipulé des configurations et même exploité CSRF pour surmonter les protections. L'opération a utilisé une technique intelligente pour cacher les URL de l'étape suivante : les métadonnées HTML d'un profil public ont servi de « goutte morte » pour résoudre l'endroit où la charge utile était hébergée. L'auteur de l'attaque a maintenu un dépôt public dans lequel de multiples engagements ont été respectés pendant des mois, ce qui laisse entendre qu'il ne s'agissait pas d'une explosion amateur, mais d'un projet dont la maintenance et l'amélioration se poursuivent.
Si nous ajoutons un autre bloc de recherche, l'image devient plus grande. La couche X cabinet a dévoilé un réseau d'extensions qui se posaient comme assistants IA, installés par des centaines de milliers d'utilisateurs, et effectivement chargé un iphrame dans un domaine distant qui pourrait changer la fonctionnalité de l'extension en temps réel. Selon LayerX, ces iframes pourraient commander l'extension pour extraire du texte lisible de la page en utilisant des librairies telles que la lisibilité, activer la reconnaissance vocale et envoyer des transcriptions au serveur attaquant, ou même lire le contenu visible de Gmail lorsque l'utilisateur a entré mail.google.com. Le danger est que le comportement malveillant peut venir sans passer par le processus de mise à jour du dépôt officiel, parce que l'iphrame distant contrôle ce qui est montré et ce qui est recueilli.
L'ampleur du problème a également été quantifiée par d'autres groupes. Un dépôt public tenu par les chercheurs a trouvé des centaines d'extensions qui envoient l'historique de navigation aux intermédiaires et courtiers de données, avec des dizaines de millions d'installations ensemble. Q Les recherches de Continuum, par exemple, documentent une vaste collection d'extensions d'espionnage avec une portée mondiale de millions d'utilisateurs ( voir détails). Il est confirmé que ce ne sont pas des incidents isolés, mais un modèle dans lequel les extensions sont monétisées ou réutilisées pour l'espionnage et la fraude.
Dans ce contexte, la défense exige des décisions pratiques et surtout des habitudes durables. Tout d'abord, il est approprié d'appliquer le principe de l'exposition minimale: installer uniquement des extensions dont vous avez vraiment besoin et qui viennent de développeurs ayant une réputation vérifiable. Pour examiner les autorisations qui demandent une extension avant d'accepter son installation est essentiel, car de nombreux risques se matérialisent lorsque l'utilisateur autorise l'accès à des domaines sensibles ou à l'ensemble de l'historique de navigation. De plus, vérifier régulièrement les extensions installées et supprimer celles qui n'utilisent pas réduit la surface d'attaque.
Pour ceux qui gèrent des environnements d'entreprise ou gèrent des comptes critiques, il existe des mesures plus énergiques : utiliser des profils de navigateur distincts pour les tâches personnelles et professionnelles, permettre aux politiques de tarification de contrôler quelles extensions peuvent être installées et, si possible, choisir des mécanismes d'authentification qui ne dépendent pas exclusivement des codes TOTP amovibles. Les clés de sécurité basées sur WebAuthn constituent un obstacle technique majeur contre le vol de facteurs à usage unique; pour approfondir cette option, il est utile d'examiner la documentation sur l'authentification web telle que celle qu'il maintient API d'authentification Web MDN. Google propose également des guides sur la façon dont les autorisations fonctionnent et comment gérer les extensions à partir du Chrome Web Store, qui peut servir de référence pour les utilisateurs moins techniques: explication des permis et comment supprimer une extension.
Il n'est pas approprié de tomber dans la fausse sécurité de penser que peu d'utilisateurs impliquent un faible risque. Comme l'ont souligné les responsables de la recherche, les extensions avec un nombre limité d'installations peuvent être des outils de reconnaissance et une porte d'entrée vers les objectifs de l'entreprise ou des comptes à haut niveau de privilèges. L'hygiène numérique est une première ligne de défense essentielle: examiner qui publie l'extension, lire les revues dans l'esprit critique, vérifier les mises à jour et corroborer les conclusions de la communauté de la sécurité avant de faire confiance aux données sensibles à un complément de navigateur.
Si vous voulez entrer dans les cas ci-dessus, je vous recommande de lire les analyses publiées par les organisations elles-mêmes qui les ont révélées: le rapport technique sur l'extension qui vole les graines TOTP et les Meta exportations par la Socket, le rapport Sécurité Koi à propos de VK Styles et étude LayerX sur les fausses extensions de l'IV. Pour un guide pratique sur les risques généraux et les recommandations, cette ressource de formation est utile : Conseils de sécurité sur les navigateurs.
À la fin de la journée, les extensions sont des outils puissants qui élargissent le navigateur; ils peuvent également devenir des trous de sécurité s'ils ne sont pas manipulés avec soin. Maintenir la curiosité technique sans sacrifier la prudence est le meilleur moyen d'empêcher un simple complément de conduire à un écart plus grand dans vos comptes ou dans les données de votre organisation.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...