Des badges "Featured" attribués à des modules qui pillent vos données, des extensions irréprochables pendant des années avant de basculer en spyware, des comptes développeurs détournés par phishing… le Chrome Web Store enchaîne les incidents. De toute évidence, le volume d'extensions malveillantes ne diminue pas. Et il y a plusieurs raisons.
Le problème n'est pas nouveau, mais il n'est pas non plus résolu. Et pour en comprendre les raisons, il faut regarder en face les limites du processus de validation de Google, les failles de son modèle d'extensions et les méthodes des acteurs malveillants.
Que vérifie vraiment Google avant de publier une extension ?
La validation d'une extension sur le Chrome Web Store repose sur une combinaison d'analyses automatisées et de révisions humaines. En théorie, Google inspecte le code soumis par le développeur. En pratique, avec plus de 120 000 extensions actives hébergées, il est impossible de les passer toutes au crible avec la même rigueur.
La procédure prend entre 24 heures et trois jours ouvrés. Pour faciliter cet examen, Google interdit l'obfuscation, c'est-à-dire de rendre le code source intentionnellement difficile. Mais la "minification" reste autorisée : elle compresse le code sans le masquer, tout en rendant son analyse plus laborieuse.
Surtout, la validation ne couvre que la version initiale de l'extension. Les mises à jour publiées ultérieurement ne font pas systématiquement l'objet du même niveau de contrôle. Et c'est précisément là que les acteurs malveillants ont trouvé leur principal point d'entrée.
La stratégie du "bait and switch" : propre d'abord, malveillant ensuite
Le scénario se répète. Un développeur publie une extension fonctionnelle, l'entretient pendant des mois, accumule des avis positifs et des centaines de milliers d'installations. Puis, à un moment choisi, il pousse une mise à jour qui introduit un code malveillant via le système officiel d'auto-update de Chrome.
Nous rapportions en décembre 2025 le cas de l'opération ShadyPanda, active depuis 2018, qui a transformé 4,3 millions de navigateurs Chrome et Edge en mouchards après des années de comportement irréprochable. Certaines extensions, comme Clean Master, avaient même décroché un badge de confiance du store avant que Google ne finisse par les retirer.
Cette stratégie fonctionne pour deux raisons. Une extension ancienne et bien notée inspire une confiance quasi-automatique à l'utilisateur. Et Google ne désinstalle pas automatiquement les modules de Chrome après leur retrait du store. L'utilisateur doit le faire manuellement, et la plupart des internautes ne s'en donnent pas la peine. Encore faut-il qu'ils soient au courant…
Phishing sur compte développeur : la voie la plus rapide vers le store
Obtenir les identifiants d'un développeur légitime est souvent plus rapide que de soumettre une nouvelle extension et d'attendre qu'elle monte en popularité. Nous avions découvert en janvier 2025 comment une campagne de phishing avait conduit à la publication d'une version vérolée de l'extension Cyberhaven sur le Chrome Web Store lors des fêtes de fin d'année 2024. Cette opération n'était pas isolée : le même code malveillant a été retrouvé dans au moins 35 extensions, affectant environ 2,6 millions de personnes.
La technique reste classique. Un email usurpe une notification officielle de Google, alertant le développeur d'un prétendu problème de conformité. En cliquant, il cède ses accès. L'attaquant publie alors une mise à jour malveillante depuis un compte authentifié, sans déclencher d'alerte côté utilisateur. Le code passe les contrôles puisqu'il provient d'un compte en règle.
Soulignons au passage que Google ne prévient pas les utilisateurs lorsqu'un compte éditeur change de mains ou adopte un comportement inhabituel.
Le badge "Featured" : une mise en avant qui n'est pas une garantie
Le Chrome Web Store attribue à certaines extensions un badge "Featured", censé indiquer qu'un module a été évalué et apprécié par Google. En février 2026, une campagne identifiée par LayerX où trente extensions se faisant passer pour des assistants IA avaient obtenu ce badge tout en collectant emails, identifiants et données de navigation.
Ces modules n'implémentaient aucune fonction IA localement. Ils affichaient simplement une interface chargée depuis un serveur distant contrôlé par les attaquants. Cela leur permettait donc de modifier leur comportement sans publier de nouvelle mise à jour. En pratique, ils contournaient ainsi toute analyse supplémentaire effecrtuée par Google. Sept de ces extensions restaient en ligne avec plus de 180 000 installations cumulées au moment de la publication du rapport.
La situation devient donc paradoxale. D'un côté, le volume d'extensions publiées et installées est un indicateur de succès pour le store, or plus le store grossit, mieux il se porte, et moins Google a d'intérêt à stopper cette croissance.
Manifest V3 a limité certaines attaques, pas toutes
Google a déployé Manifest V3 pour réduire la surface d'attaque des extensions. Cette nouvelle architecture interdit notamment l'exécution de code chargé depuis un serveur externe, forçant les développeurs à inclure l'intégralité de leur code dans le paquet soumis à la revue. L'idée, c'est que Google puisse analyser ce que fait une extension avant qu'elle soit mise en ligne.
C'est un progrès réel. Mais les chercheurs de SquareX ont démontré à la conférence DefCon 32 que des extensions basées sur Manifest V3 pouvaient toujours voler des flux vidéo depuis Google Meet et Zoom sans permission particulière, rediriger des utilisateurs vers des pages de phishing ou accéder au contenu de pages authentifiées. Le modèle de permissions reste trop large. Une extension qui demande l'accès à "toutes les pages visitées" (une permission banale et légitime pour un correcteur orthographique) dispose techniquement de tout ce qu'il faut pour aspirer des mots de passe directement depuis les champs de formulaire HTML.
Il y a quelques jours encore, des chercheurs ont découvert 108 extensions Chrome reliées à une même infrastructure malveillante, ciblant comptes Google et sessions Telegram. Certaines étaient toujours accessibles au moment de la publication. Manifest V3 ralentit certaines catégories d'attaques, mais il ne les supprime pas.
