La surface d’attaque dissimulée en pleine vue
Chaque employé ouvre un navigateur des dizaines de fois par jour, et presque chacun d’entre eux l’a chargé d’extensions qu’il a choisies lui-même. Selon le rapport LayerX Enterprise Browser Extension Security 2025, 99 % des employés en entreprise ont au moins une extension installée, et 52 % en utilisent plus de dix. Pourtant, la plupart des équipes de sécurité n’ont aucun inventaire de ce qui s’exécute dans les navigateurs de leurs utilisateurs.
Les chiffres derrière cet angle mort sont frappants. Cinquante-trois pour cent des extensions utilisées en environnement professionnel demandent des permissions classées à risque élevé ou critique, ce qui leur permet de lire les cookies, intercepter les mots de passe, accéder à l’historique de navigation et modifier le contenu de toute page web visitée par l’utilisateur. Plus de la moitié des éditeurs d’extensions (54 %) sont anonymes, identifiables uniquement par une adresse Gmail, et 79 % n’ont publié qu’une seule extension, rendant la vérification par réputation quasiment impossible.
Du phishing au détournement de la chaîne d’approvisionnement
Les attaquants sont passés de la distribution d’extensions malveillantes autonomes au détournement d’extensions de confiance via des compromissions de la chaîne d’approvisionnement. L’exemple le plus marquant est survenu le 24 décembre 2024, lorsqu’un e-mail de phishing ciblant un développeur de Cyberhaven a donné aux attaquants la possibilité de publier une mise à jour empoisonnée de l’extension Chrome de l’entreprise. Comme Chrome met à jour les extensions silencieusement et automatiquement, environ 400 000 utilisateurs ont reçu la version malveillante en quelques heures. Le code falsifié exfiltrait les cookies et les sessions authentifiées de sites web ciblés, le tout pendant que l’extension d’origine continuait de fonctionner normalement.
L’enquête ultérieure a révélé une campagne plus large. Au moins 36 extensions Chrome ont été compromises en utilisant le même mode opératoire de phishing, affectant collectivement plus de 2,6 millions d’utilisateurs. Les attaquants ciblaient spécifiquement les développeurs d’extensions car un seul compte compromis peut pousser du code malveillant vers chaque utilisateur ayant l’extension installée, un effet d’amplification que la distribution traditionnelle de malwares ne peut égaler.
Publicité
Vol d’identifiants à grande échelle
Au-delà des attaques de chaîne d’approvisionnement, des extensions malveillantes conçues sur mesure ciblent de plus en plus les plateformes d’entreprise. En janvier 2026, la société de sécurité Socket a découvert cinq extensions Chrome se faisant passer pour des outils de productivité pour Workday, NetSuite et SAP SuccessFactors. Installées plus de 2 300 fois, ces extensions extrayaient les cookies d’authentification toutes les 60 secondes, les envoyant à des serveurs de commande et contrôle qui donnaient aux attaquants un accès persistant aux systèmes RH et ERP de l’entreprise.
La plus sophistiquée des cinq, appelée « Software Access », allait plus loin : elle utilisait l’injection bidirectionnelle de cookies via l’API `chrome.cookies.set()` de Chrome pour implanter des jetons de session volés directement dans le navigateur de l’attaquant, contournant entièrement l’authentification multifacteur. Deux autres bloquaient activement l’accès des administrateurs aux pages de changement de mot de passe et d’historique de connexion, empêchant la détection pendant le déroulement de l’attaque.
À plus grande échelle, l’opération DarkSpectre, exposée en décembre 2025, a révélé une campagne de sept ans menée par un acteur chinois ayant infecté 8,8 millions de navigateurs Chrome, Edge et Firefox via 18 extensions. Une campagne, baptisée Zoom Stealer, récoltait spécifiquement les URL de réunions d’entreprise, les mots de passe intégrés et les listes de participants, des renseignements à valeur directe pour l’espionnage industriel.
Le problème des extensions GenAI
Une dimension plus récente du risque provient de l’adoption rapide des extensions de navigateur d’IA générative. Le rapport LayerX a révélé que plus de 20 % des employés en entreprise utilisent désormais au moins une extension GenAI, et 58 % de ces extensions détiennent des permissions à risque élevé ou critique. Ces outils lisent souvent l’intégralité du contenu de chaque page visitée par l’utilisateur afin de fournir une assistance contextuelle, ce qui signifie que les documents sensibles, les tableaux de bord internes et les données propriétaires sont silencieusement acheminés via une infrastructure tierce.
Combiné au fait que 51 % de toutes les extensions en entreprise n’ont pas été mises à jour depuis plus d’un an et que 26 % sont chargées latéralement (installées directement par une autre application, contournant entièrement la vérification du store), le résultat est une surface d’attaque qui devient plus dangereuse tant qu’elle reste non gérée.
Ce que les entreprises doivent faire maintenant
Le passage d’extensions non gérées à des extensions gouvernées ne nécessite pas de remplacer les navigateurs ni de bloquer tous les modules complémentaires. Il exige de la visibilité, des politiques et une surveillance continue.
Établir un inventaire complet des extensions. Utilisez les API de gestion des navigateurs ou les outils de navigateur d’entreprise pour recenser chaque extension dans l’organisation, signaler les permissions et croiser les données avec les bases d’extensions malveillantes connues. On ne peut pas sécuriser ce qu’on ne peut pas voir.
Mettre en place l’épinglage de versions avec des mises à jour différées. Plutôt que de compter sur le mécanisme de mise à jour silencieuse de Chrome, qui a propagé l’attaque Cyberhaven en quelques heures, épinglez les versions des extensions et introduisez un délai de mise à jour de 48 à 72 heures. Cela crée une fenêtre permettant à la communauté de sécurité de détecter et signaler les mises à jour compromises avant qu’elles n’atteignent vos postes de travail.
Établir une liste blanche d’extensions. Passez d’une posture d’autorisation par défaut à un refus par défaut. Seules les extensions pré-approuvées avec des éditeurs vérifiés et des permissions justifiées devraient être installables. Portez une attention particulière aux extensions GenAI, qui demandent fréquemment des permissions bien supérieures à leur fonction déclarée.
Surveiller les anomalies comportementales. Les extensions qui commencent soudainement à effectuer des appels réseau vers des domaines inconnus, à accéder à des cookies en dehors de leur périmètre déclaré ou à modifier le contenu des pages sur les plateformes d’entreprise devraient déclencher des alertes automatisées. Les attaques de chaîne d’approvisionnement sont conçues pour paraître normales au niveau des permissions : la détection comportementale repère ce que l’analyse statique manque.
Questions Fréquemment Posées
Pourquoi les extensions de navigateur sont-elles considérées comme un angle mort de sécurité pour les entreprises ?
Les extensions de navigateur fonctionnent à l’intérieur du navigateur avec des permissions accordées à l’installation, mais elles échappent à la visibilité des outils de sécurité traditionnels comme la détection des endpoints (EDR), la prévention de fuite de données (DLP) et la surveillance réseau. Le rapport LayerX 2025 a révélé que 99 % des employés ont des extensions installées, mais la plupart des équipes de sécurité n’en tiennent aucun inventaire. Cela crée une surface d’attaque non surveillée où des extensions malveillantes ou compromises peuvent exfiltrer des données sans déclencher aucune alerte.
Comment l’attaque de chaîne d’approvisionnement Cyberhaven a-t-elle fonctionné ?
Le 24 décembre 2024, les attaquants ont envoyé un e-mail de phishing à un développeur de Cyberhaven qui semblait provenir du Chrome Web Store. Après avoir obtenu les identifiants du développeur, ils ont publié une mise à jour empoisonnée de l’extension Chrome légitime de Cyberhaven. Le mécanisme de mise à jour silencieuse de Chrome a poussé la version malveillante vers environ 400 000 utilisateurs en quelques heures. L’extension compromise exfiltrait les cookies et les sessions authentifiées tout en continuant de fonctionner normalement, rendant la détection extrêmement difficile.
Que peuvent faire les organisations pour réduire le risque des extensions sans tout bloquer ?
Les organisations peuvent prendre trois mesures pratiques : premièrement, établir un inventaire complet des extensions en utilisant les API de gestion des navigateurs pour identifier chaque extension installée et ses permissions. Deuxièmement, mettre en place l’épinglage de versions avec un délai de mise à jour de 48 à 72 heures, créant un tampon contre les attaques de chaîne d’approvisionnement exploitant les mises à jour automatiques. Troisièmement, passer d’une autorisation par défaut à une politique de liste blanche, où seules les extensions pré-approuvées avec des éditeurs vérifiés sont installables. Ces mesures offrent une protection solide sans éliminer les avantages de productivité des extensions légitimes.
Sources et lectures complémentaires
- Majority of Browser Extensions Can Access Sensitive Enterprise Data — The Hacker News
- LayerX Enterprise Browser Extension Security Report 2025 — GlobeNewsWire
- Cyberhaven Supply Chain Attack: Exploiting Browser Extensions — Darktrace
- Five Malicious Chrome Extensions Impersonate Workday and NetSuite — The Hacker News
- DarkSpectre Browser Extension Campaigns Exposed After Impacting 8.8 Million Users — The Hacker News
- Several Chrome Extensions Compromised in Supply Chain Attack — SecurityWeek
- The Hidden Cybersecurity Risk in Your Browser Extensions — Barracuda Networks
