Deux rapports publiés coup sur coup pointent de sérieuses lacunes dans certaines extensions Chrome installées sur des millions de PC. La porte ouverte aux écoutes réseau, aux abus de services tiers et à une exposition massive des comportements des internautes.

Ces extensions Chrome très populaires exposent en clair les données de millions d’internautes. © LookerStudio / Shutterstock
Ces extensions Chrome très populaires exposent en clair les données de millions d’internautes. © LookerStudio / Shutterstock
L'info en 3 points
  • Symantec révèle que certaines extensions Chrome populaires exposent des données sensibles en clair, compromettant la confidentialité des utilisateurs.
  • Des identifiants techniques intégrés dans le code source de certaines extensions peuvent être exploités pour des activités frauduleuses.
  • Pour se protéger, désinstallez ou mettez à jour les extensions concernées et vérifiez les permissions des modules installés.

Trois millions d’installations et une promesse de confidentialité n’ont jamais garanti des pratiques irréprochables. Encore moins quand on fait circuler des données personnelles en clair sur le réseau, ou qu’on laisse traîner des clés d’accès dans le code source. C’est pourtant ce que révèlent deux rapports publiés par Symantec, le premier détaillant des transmissions non chiffrées de données sensibles, le second faisant état d’identifiants codés en dur dans le JavaScript d’extensions Chrome très populaires. Dans les deux cas, les modules incriminés cumulent parfois des millions de téléchargements, et leurs éditeurs sont loin d’être de parfaits inconnus.

Fuites en série et mauvaises habitudes

Traiter des données personnelles en clair, c’est déjà problématique. Le faire depuis une extension qui promet confidentialité ou sécurité, ça devient franchement gênant. SEMRush Rank, PI Rank, DualSafe, MSN New Tab, Browsec VPN… autant d’extensions très répandues qui, selon Symantec, continuent de faire circuler des informations sensibles via des requêtes HTTP – domaines consultés, identifiant machine, système d’exploitation, statistiques d’usage – comme si HTTPS n’avait jamais existé.

Transmises sans chiffrement, ces données peuvent être interceptées par n’importe quel appareil connecté au même réseau, public comme privé. On pourrait se rassurer en rappelant qu’il ne s’agit pas de mots de passe ou de données bancaires, mais ce serait passer à côté du problème. Ces éléments sont suffisamment précis pour reconstituer un historique de navigation, établir des corrélations entre plusieurs sessions, associer un appareil à un profil, et, dans les cas les plus embêtants, affiner des scénarios de phishing. Elles peuvent même être détournées ou modifiées à la volée. Difficile, dans ces conditions, de minimiser les risques.

À cela s’ajoutent des pratiques tout aussi discutables dans la gestion des identifiants techniques. Microsoft Editor, Equatio, Antidote Connector ou encore Trust Wallet, intègrent en clair des clés d’accès à des services tiers. Des identifiants liés à des API de télémétrie, de reconnaissance vocale, d’hébergement, de géolocalisation, ou encore de services financiers, insérés directement dans le JavaScript et facilement récupérables. Une fois extraits, ces éléments peuvent être détournés pour générer des requêtes frauduleuses, injecter de fausses données, saturer les services concernés, déclencher des opérations à distance. Pas besoin d’être un expert en sécurité pour comprendre que ce genre de négligence peut coûter cher – aux développeurs comme aux utilisateurs et utilisatrices.

Parmi les extensions traitant des requêtes HTTP, Browsec VPN utilise une connexion non sécurisée pour envoyer vers ses serveurs des données d'usages (clics sur le module, nombre de changements de pays, etc.) associées à un identiant utilisateur unique lorsque l'internaute supprime le module de son navigateur. © Symantec
Parmi les extensions traitant des requêtes HTTP, Browsec VPN utilise une connexion non sécurisée pour envoyer vers ses serveurs des données d'usages (clics sur le module, nombre de changements de pays, etc.) associées à un identiant utilisateur unique lorsque l'internaute supprime le module de son navigateur. © Symantec

Comment limiter les dégâts

Dans l’immédiat, le plus simple est de désinstaller les extensions concernées ou de vérifier si elles ont été mises à jour. Certaines de celles épinglées par Symantec ont corrigé le tir, comme DualSafe et Antidote Connector, d’autres pas encore. En cas de doute, n’hésitez pas à les désactiver, surtout si elles manipulent des données sensibles.

C’est aussi un bon moment pour faire le tri dans les modules installés sur votre navigateur. Nombre d’entre eux restent actifs en arrière-plan et bénéficient d’un accès très (trop) large à votre navigation, parfois sans raison valable. Inutile de garder des extensions qu’on n’utilise plus ou dont on ne sait plus très bien ce qu’elles font.

Enfin, pour les développeurs et développeuses, on rappellera que les clés d’API n’ont rien à faire dans le code client, même pour un test. Les appels réseau doivent passer en HTTPS, y compris pour de la télémétrie. Et s’il faut vraiment interagir avec des services tiers, autant le faire depuis un backend qui gère les identifiants à part.

Sources : Symantec [1], Symantec [2]

Opera
  • Speed Dial et barre latérale très efficaces
  • Excellentes performances
  • Environnement et fonctionnalités orientés productivité
8 / 10
Voir le site
Lire le test
À découvrir
Meilleur antivirus, le comparatif en juin 2025

30 mai 2025 à 09h45

Comparatifs services