Tes extensions de navigateur te surveillent
Security & Privacy

Tes extensions de navigateur te surveillent

Une extension voit chaque page que tu ouvres. Que son auteur la revende ou se fasse phisher, et il suffit d'une mise à jour pour que des millions d'utilisateurs se retrouvent du jour au lendemain à la merci du tracking ou du vol de credentials.

BROWSER.LOL
22.01.2026
Lecture : 20 min
Partager

L'extension « The Great Suspender » comptait plus de deux millions d'utilisateurs. Elle mettait en veille les onglets inactifs et libérait de la RAM. Puis son créateur a fini par revendre le projet à un acheteur anonyme. Quelques semaines plus tard, ce nouvel acheteur publiait sur le Chrome Web Store une mise à jour qui glissait du code de tracking, affichait de la publicité et envoyait le comportement des utilisateurs vers des serveurs étrangers. Le temps que Google réagisse, des millions de personnes avaient déjà reçu l'update.

Ce qui est inquiétant, ce n'est pas qu'une extension ait mal tourné. C'est que tout le système est conçu pour que ça recommence. Chaque extension installée, c'est un bout de code avec des permissions très larges, qui se met à jour tout seul depuis un développeur dont le compte, la motivation ou le propriétaire peuvent basculer du jour au lendemain.

Ce qu'une extension voit vraiment

La plupart des extensions de navigateur demandent l'accès à toutes les pages que tu visites. Dans Chrome, la permission s'intitule « Lire et modifier toutes vos données sur les sites que vous consultez ». Ça a l'air très technique, mais concrètement, ça signifie que l'extension peut lire n'importe quel champ sur n'importe quelle page : champs de mot de passe, session tokens planqués dans le DOM, messages privés, données bancaires, tout y passe.

Dans la foulée, elle peut intercepter les requests, lire les cookies, ouvrir des onglets, capter les frappes au clavier et injecter du contenu qu'on ne distingue plus à l'œil d'un vrai élément de la page. Une extension, dans les faits, c'est un man in the browser. Ce n'est pas un bug, c'est le parti pris de design sans lequel les gestionnaires de mots de passe, les ad blockers et les traducteurs ne fonctionneraient tout simplement pas.

Le navigateur ne t'affiche ces permissions qu'une seule fois, au moment de l'installation, et après plus jamais. Sur beaucoup de stores, les mises à jour ont le droit d'élargir des permissions déjà accordées sans te redemander quoi que ce soit, tant qu'elles n'ajoutent pas une catégorie complètement nouvelle.

Comment les extensions deviennent une surface d'attaque

Une icône de développeur avec une flèche vers une pièce de puzzle, puis une flèche vers un browser, une des pièces légèrement d'une couleur différente

Les extensions se font compromettre de trois manières, et les trois sont devenues bien plus fréquentes ces dernières années.

Vente à un nouveau propriétaire. Un développeur du dimanche maintient un petit outil pendant des années, puis finit par recevoir une offre de rachat. Derrière les acheteurs, on trouve presque toujours des boîtes de marketing, parfois des acteurs plus louches qui avancent masqués et qui veulent surtout une base d'utilisateurs déjà constituée pour y injecter de la pub, faire de la redirection d'affiliation ou carrément lancer des campagnes d'infostealer.

Phishing visant les développeurs. En 2023, plus de vingt extensions Chrome sont passées entre les mains d'attaquants en un seul week-end, parce que leurs auteurs s'étaient fait avoir par un prompt OAuth déguisé en notification Google Mail. L'attaquant a eu le temps de publier des mises à jour malveillantes avant que qui que ce soit ne se rende compte de l'intrusion.

Dépendances. Les extensions tirent des bibliothèques. Ces bibliothèques ont leurs propres mainteneurs et leur propre supply chain. Un paquet npm détourné peut très bien finir dans le navigateur de l'utilisateur final en passant par plusieurs extensions, sans que les auteurs de ces extensions n'aient eux-mêmes rien fait de mal.

Des cas dont tu n'as sans doute jamais entendu parler

La liste est longue et elle s'allonge. The Great Suspender n'est que l'exemple le plus médiatisé. Nano Adblocker et Nano Defender ont basculé du côté obscur en 2020 après un changement de propriétaire et se sont mis à logger les requests des utilisateurs. Stylish, une extension de personnalisation graphique avec deux millions d'utilisateurs, s'est fait racheter et a commencé à renvoyer chaque URL visitée vers des serveurs externes.

En 2024, Secure Annex a documenté plusieurs dizaines d'extensions Chrome dans des catégories très variées (notes, PDF, météo, captures d'écran), toutes rétroactivement piégées avec du code de vol de credentials. À elles toutes, elles totalisaient plus de soixante millions d'installations.

280+

extensions malveillantes documentées rien qu'en 2024

60 M

utilisateurs cumulés des extensions touchées

50 %

des utilisateurs ont 3 extensions ou plus installées

Auditer tes propres extensions

Ce petit tour te prend dix minutes et permet de trancher pour de bon quelles extensions méritent de rester.

  1. 1

    Ouvre la page des extensions de ton navigateur

    chrome://extensions sous Chrome, about:addons sous Firefox, edge://extensions sous Edge. Tu y retrouveras tout ce que tu as pu installer au fil du temps.
  2. 2

    Vire tout ce que tu n'as pas utilisé ces deux dernières semaines

    Toute extension que tu n'utilises pas vraiment, c'est de la surface d'attaque gratuite. Un outil de captures d'écran que tu sors une fois par mois ne justifie pas une permission permanente de lire partout.
  3. 3

    Sur celles qui restent, regarde l'éditeur et la date de la dernière mise à jour

    Éditeur inconnu, vente récente, plus de mise à jour depuis plus d'un an : autant de drapeaux rouges. Un long silence côté updates, ce sont des patches de sécurité qui manquent ; des changements de propriétaire à répétition, c'est le profil typique des reprises hostiles.
  4. 4

    Restreins l'accès aux sites dès que tu le peux

    Sous Chrome, tu peux cantonner une extension à des sites précis ou la passer en « au clic ». Un outil de prise de notes n'a rien à faire sur ton site de banque en ligne.

Une configuration par défaut plus sûre

Deux fenêtres de browser côte à côte, l'une avec trois icônes de pièces de puzzle, l'autre vide, un séparateur en pointillés entre les deux

La bonne réponse n'est presque jamais « tu jettes toutes tes extensions ». Un gestionnaire de mots de passe et un ad blocker gagnent largement leur place. La bonne réponse, c'est de basculer la navigation sensible dans un environnement qui ne connaît aucune extension. Un navigateur tout neuf et isolé, sans le moindre add-on, c'est la surface d'attaque la plus propre que tu puisses t'offrir.

Concrètement : ton navigateur de tous les jours garde les extensions auxquelles tu tiens, tu sais à quoi tu t'exposes et tu fais le ménage régulièrement. Banque en ligne, logins admin, wallets crypto, recherches sur des sites dont tu te méfies, tout ça passe dans une session isolée. Aucune extension n'y lit par-dessus ton épaule, tout simplement parce qu'il n'y en a pas.

Et si tu avais un vrai bureau, partout, sur n'importe quel appareil ?

Teste Browser.lol gratuitement et retrouve toute la puissance d'un PC, même depuis ton téléphone.

Ouvrir mon bureau virtuel

Rien à installer • Tous les appareils

Adopté par plus de 250 000 pros
Comme un vrai bureau
Prêt en quelques secondes

Derniers articles

Tous les articles
Canvas, WebGL et Audio : les trois fingerprints qui survivent à chaque redémarrage
Sécurité & vie privée

Canvas, WebGL et Audio : les trois fingerprints qui survivent à chaque redémarrage

Effacer les cookies ne change rien à ces trois-là. Comment se construisent les hashes Canvas, les chaînes WebGL et les signatures AudioContext, et pourquoi même Tor en laisse fuiter un.

17.05.2026Lire la suite
Tabnabbing et clickjacking : les attaques d'interface que tu ne vois jamais
Sécurité & vie privée

Tabnabbing et clickjacking : les attaques d'interface que tu ne vois jamais

Certaines attaques de navigateur n'ont pas besoin de malware. Elles redessinent tes onglets en arrière-plan ou cachent un vrai bouton sous un faux, et c'est toi qui livres tes identifiants. Voici comment ces astuces d'UI fonctionnent.

19.03.2026Lire la suite
Wallet drainers Web3 : comment une seule signature vide ta crypto
Sécurité & vie privée

Wallet drainers Web3 : comment une seule signature vide ta crypto

Les wallet drainers ne touchent même pas à ta seed phrase. Ils te font signer une transaction qui transfère tout en un clic. Voici comment l'arnaque fonctionne et comment signer sans tout perdre.

05.03.2026Lire la suite