En 2019, des chercheurs ont publié un rapport sous le nom de code “Data Spii”. Ils avaient découvert que huit extensions Chrome et Firefox populaires — certaines avec des millions d’utilisateurs — collectaient silencieusement l’historique de navigation complet de leurs utilisateurs, y compris des URLs contenant des tokens d’authentification, des documents Google Drive partagés et des données médicales.
Ces extensions s’appelaient des choses aussi anodines que “SpeakIt!” ou “SuperZoom”. Elles n’étaient pas des malwares obscurs — elles étaient légitimes au moment de leur installation. Et puis leurs éditeurs ont commencé à vendre les données.
C’est le problème central avec les extensions de navigateur : tu leur fais confiance une fois, et cette confiance persiste pour toujours — même quand les choses changent.
Comment les extensions fonctionnent techniquement
Une extension de navigateur s’exécute dans le contexte de ton navigateur. Selon les permissions qu’elle demande, elle peut :
- Lire le contenu de chaque page que tu visites : texte, images, formulaires, champs de mot de passe
- Modifier le contenu des pages : injecter du code, changer ce que tu vois
- Accéder à ton historique de navigation : tous les sites visités
- Voir tes onglets ouverts : URLs, titres, ordre de navigation
- Intercepter tes requêtes réseau : voir ce que ton navigateur envoie et reçoit
- Accéder aux cookies : y compris les tokens de session (qui donnent accès à tes comptes)
La permission la plus dangereuse dans Chrome est : “Lire et modifier toutes les données des sites Web que tu visites”. C’est la permission maximale. Une extension qui l’a peut littéralement tout voir.
Trois cas réels qui illustrent le problème
The Great Suspender — la confiance trahie
The Great Suspender était une extension légitime et populaire (2+ millions d’utilisateurs) qui “suspendait” les onglets inactifs pour économiser la mémoire. En décembre 2020, son développeur original l’a vendue à un acheteur anonyme. Quelques semaines plus tard, l’extension avait été modifiée pour inclure du code de tracking.
Les utilisateurs n’ont rien su. L’extension était toujours là, toujours activée, mise à jour automatiquement — mais maintenant entre les mains de quelqu’un d’autre.
Data Spii — la collecte à grande échelle
Le rapport Data Spii de 2019 a démontré qu’un réseau d’extensions Chrome et Firefox collectait l’historique complet de navigation de millions d’utilisateurs. Ces extensions fonctionnaient parfaitement pour leur fonction officielle — bloqueur de publicités, outils de productivité — tout en exfiltrant des données en parallèle.
Parmi les données collectées : des URLs internes d’entreprises (avec identifiants dans l’URL), des liens de partage Google Drive, des données de portails médicaux, des identifiants de session.
Les extensions PDF et Video Downloader
Une catégorie entière d’extensions est chroniquement problématique : les convertisseurs PDF, les téléchargeurs de vidéo YouTube, les outils de capture d’écran. Ces extensions demandent presque toujours l’accès à tous les sites, n’ont souvent pas de code open source auditable, et changent de mains régulièrement.
Comment auditer tes extensions maintenant
Sur Chrome
- Tape
chrome://extensionsdans la barre d’adresse - Examine chaque extension — clique sur “Détails” pour voir les permissions
- Note celles qui ont accès à “Tous les sites” ou à des permissions sensibles
Questions à te poser pour chaque extension :
- Est-ce que je l’utilise encore activement ?
- Est-ce qu’elle est open source ? (cherche le dépôt GitHub)
- Est-ce que l’éditeur est identifiable et réputé ?
- Les permissions demandées sont-elles proportionnelles à sa fonction ?
Sur Firefox
Firefox → Menu (☰) → Modules complémentaires → Gérer mes modules. Firefox a l’avantage de permettre des permissions plus granulaires et offre un meilleur contrôle.
Sur Safari
Safari → Préférences → Extensions. Même logique — désactive ou supprime ce que tu n’utilises plus.
Extensions de confiance vs à risque
| Catégorie | Niveau de risque | Exemples |
|---|---|---|
| Open source, communauté active, réputé | Faible | uBlock Origin, Privacy Badger |
| Grands éditeurs reconnus | Faible-modéré | 1Password, Bitwarden |
| Outils de productivité fermés | Modéré | Grammarly, Honey |
| Convertisseurs/téléchargeurs | Élevé | La plupart des extensions PDF/YouTube |
| Extensions inconnues, peu de reviews | Très élevé | Toute extension obscure |
Pour ce qui est d’uBlock Origin : c’est l’exemple d’une extension à permissions larges qui mérite la confiance. Son code est entièrement open source, audité publiquement, et elle fait exactement ce qu’elle dit faire. Consulte notre guide sur uBlock Origin pour voir comment la configurer correctement.
Bonnes pratiques
Principe du moins de privilèges
Une extension de téléchargement de vidéos n’a pas besoin d’accéder à ton compte bancaire. Utilise le mode “Sur clic” quand c’est disponible — l’extension n’a accès qu’aux sites sur lesquels tu l’actives manuellement.
Surveille les mises à jour automatiques
Chrome met à jour les extensions automatiquement. C’est pratique, mais ça veut dire qu’une extension peut changer de comportement sans que tu sois averti. Garde un œil sur les permissions après les mises à jour majeures.
Préfère les profils séparés pour les activités sensibles
Si tu fais de la banque en ligne ou travailles avec des données sensibles, envisage un profil Chrome ou Firefox dédié — sans extensions, ou avec un ensemble minimal de confiance.
Règle des 3 questions avant d’installer
Avant d’installer une nouvelle extension :
- Ai-je vraiment besoin de ça ? (souvent la réponse est non)
- Le code est-il open source et auditable ?
- Les permissions demandées ont-elles du sens pour ce que l’extension fait ?
Recommandations pratiques
- Fais l’audit maintenant : ouvre
chrome://extensionset supprime tout ce que tu n’utilises plus - Moins c’est mieux : vise 3-5 extensions maximum, toutes essentielles
- Préfère le mode “Sur clic” pour les extensions qui n’ont pas besoin d’un accès permanent
- Méfie-toi des extensions de conversion et de téléchargement — c’est la catégorie la plus compromise
- Vérifie l’open source : si le code n’est pas public, tu fais confiance aveuglément
- Surveille les changements de propriétaire — si une extension populaire est rachetée, c’est un signal d’alarme
Les extensions sont un vecteur d’attaque systématiquement sous-estimé. La plupart des gens les installent une fois et n’y repensent plus — exactement ce que les mauvais acteurs comptent dessus.
