Extensions Chrome malveillantes : 10M utilisateurs piégés
Les extensions Chrome malveillantes ne ressemblent pas toujours à des virus. Elles peuvent être gratuites, populaires, bien notées et utiles. Le cas d’un adblock Chrome très installé rappelle un point simple : dans une PME, une extension de navigateur peut devenir un accès direct aux mails, comptes SaaS et outils internes.
Besoin d’un contrôle rapide sur les extensions Chrome malveillantes ?
Extensions Chrome malveillantes : le risque pour les PME
Le 25 juin 2026, The Hacker News a relayé l’analyse d’Island sur une extension Chrome appelée Adblock for YouTube. Elle revendiquait plus de 10 millions d’installations et existait sur le Chrome Web Store depuis 2014.
Le problème n’est pas seulement son nom rassurant. Selon l’analyse publiée, l’extension contenait un chemin permettant d’exécuter du JavaScript arbitraire dans le navigateur, via une configuration côté serveur. À la date de l’analyse, aucun payload malveillant n’était démontré comme activé. Mais la capacité était là.
Dit autrement : ce n’est pas juste un mauvais adblock. C’est le type d’architecture qui peut devenir un adblock trojan si elle est déclenchée. L’utilisateur ne voit rien. Il continue de naviguer. L’entreprise pense que tout va bien.
Dans un diagnostic PME, on voit trop souvent la même scène : un poste propre côté antivirus, mais un navigateur rempli d’extensions installées au fil des années. Bloqueur de pub, VPN gratuit, outil PDF, assistant IA, gestionnaire de coupons. Personne ne les suit vraiment.
Le navigateur est pourtant devenu le poste de travail principal. Gmail, Microsoft 365, CRM, banque, console cloud, outils RH, facturation : tout passe par là. Une extension avec trop de droits peut donc lire, modifier ou injecter du contenu dans des pages sensibles.
Tu veux remettre les bases à plat ?
Comment fonctionne le risque d’injection JavaScript
Une extension d’adblock a souvent besoin de permissions fortes. Elle inspecte les requêtes, masque des éléments, modifie des pages et adapte son comportement quand les sites changent. C’est normal pour sa fonction. C’est aussi ce qui rend le risque sérieux.
Dans le cas étudié, le point sensible vient d’un chemin de configuration distant capable d’atteindre un scriptlet nommé trusted-create-element. Correction importante : ce scriptlet appartient à la bibliothèque open source AdGuard et n’a pas été écrit spécifiquement par l’éditeur de l’extension.
Le risque signalé par Island porte sur l’assemblage global : une extension très installée, des permissions larges, un contrôle serveur, et la possibilité de créer un élément script dans la page sans nouvelle mise à jour Chrome Web Store.
Pour une PME, la traduction est simple. Si un collaborateur installe ce type d’extension sur son profil Chrome professionnel, l’attaquant potentiel se place au meilleur endroit : dans la session déjà connectée. Il n’a pas forcément besoin du mot de passe. Le navigateur l’a déjà.
Sécurité navigateur entreprise : le vrai sujet
La sécurité navigateur entreprise ne consiste pas à interdire Chrome. Elle consiste à arrêter de traiter les extensions comme des gadgets personnels. Une extension est un logiciel. Elle a un éditeur, des permissions, des mises à jour, une chaîne de confiance et un risque de reprise.
Ce cas est plus inquiétant qu’une faille classique. Une faille peut être corrigée par patch. Une extension trop permissive peut rester installée pendant des années, changer de propriétaire, recevoir une mise à jour ou modifier son comportement via configuration distante.
Google propose des politiques d’administration pour autoriser ou bloquer des extensions dans Chrome Enterprise. La logique recommandée côté Eur’Net est simple : bloquer par défaut, autoriser uniquement les extensions utiles, puis documenter un propriétaire interne pour chaque extension validée.
La bonne question n’est donc pas : “Est-ce que cette extension a beaucoup d’avis ?” La bonne question est : “A-t-elle besoin d’accéder à toutes les pages de l’entreprise ?” Si la réponse est non, elle ne doit pas avoir ce droit.
Ressource utile : la documentation Google sur la gestion des extensions permet de construire une stratégie d’autorisation et de blocage à l’échelle d’une organisation :
Tu veux cadrer les règles côté entreprise ?
Extensions Chrome malveillantes : les contrôles simples
La détection d’une extension malveillante commence par une vérification manuelle. Elle ne demande pas d’outil compliqué. Dans Chrome, ouvre la page des extensions, active les détails, puis regarde les permissions et l’éditeur.
- Supprime les extensions inconnues ou inutilisées.
- Vérifie les adblocks, VPN gratuits, convertisseurs PDF et assistants IA.
- Contrôle les extensions qui peuvent lire ou modifier toutes les données sur tous les sites.
- Recherche les changements récents de nom, d’éditeur ou de comportement.
- Évite les extensions recommandées par des publicités ou des tutoriels douteux.
Le cas signalé contenait aussi un test trop permissif autour de la chaîne youtube.com. Au lieu de valider proprement le nom d’hôte, la logique pouvait se déclencher quand la chaîne apparaissait n’importe où dans l’URL.
| Exemple d’URL | Pourquoi c’est problématique |
|---|---|
| facebook.com/page?ref=youtube.com | La chaîne youtube.com apparaît dans un paramètre. |
| bank.example.com/search?q=youtube.com | Un site bancaire fictif pourrait passer le test. |
| internal.corp.com/redirect?from=youtube.com | Un outil interne pourrait être concerné. |
Ce détail montre pourquoi le sujet dépasse le grand public. En entreprise, une URL interne, un portail RH ou une console admin peuvent devenir des surfaces de lecture ou d’injection si une extension dispose des bons droits.
Le navigateur n’est qu’une partie du sujet.
Compare aussi ta protection poste de travail avec le guide antivirus entreprise 2026
C’est pas une faille, c’est pire à gérer
À ce stade, il faut rester précis. La source ne dit pas qu’un vol massif de données a eu lieu via cette capacité. Elle dit qu’une capacité dormante d’injection existait et qu’elle pouvait être activée par un changement côté serveur.
C’est justement ce qui rend le dossier important. Le risque n’est pas visible comme un ransomware. Il ne bloque pas les fichiers. Il ne déclenche pas toujours une alerte antivirus. Il vit dans le navigateur, là où l’utilisateur travaille déjà.
Selon l’article source, trois extensions liées avaient été retirées du Chrome Web Store pour malware ou risque associé :
| Extension | ID indiqué dans la source |
|---|---|
| Adblock for Chrome | onomjaelhagjjojbkcafidnepbfkpnee |
| Adblock for You | ogcaehilgakehloljjmajoempaflmdci |
| AdBlock Suite | gekoepiplklhniacchbbgbhilidiojmb |
Le point terrain est simple : le gratuit n’est pas le problème en soi. Le problème, c’est l’absence de gouvernance. Une extension gratuite, installée sans validation, avec accès à toutes les pages, devient un angle mort de cybersécurité.
Diagnostic extensions Chrome : quoi faire en 5 minutes
Un diagnostic extensions Chrome peut commencer tout de suite, poste par poste. Ce n’est pas parfait, mais c’est mieux que rien. Sur un ordinateur à risque, ouvre Chrome, va dans les extensions, puis désinstalle tout ce qui n’est pas nécessaire.
- Ouvre Chrome et va dans la gestion des extensions.
- Repère les adblocks, VPN, outils IA, coupons et convertisseurs.
- Clique sur détails pour vérifier les permissions.
- Désinstalle Adblock for YouTube si l’extension est présente.
- Redémarre Chrome et change les mots de passe des comptes sensibles si un doute existe.
Ensuite, passe en mode entreprise. Crée une liste blanche d’extensions autorisées. Bloque l’installation libre. Documente les exceptions. Pour chaque extension validée, note l’usage, l’éditeur, les permissions et la personne responsable.
Le sujet rejoint directement la protection globale du poste. Un antivirus PME ne remplace pas une politique d’extensions. Il la complète. Même logique pour la sensibilisation : une formation cybersécurité Kaspersky aide l’équipe à comprendre pourquoi un bouton “Ajouter à Chrome” peut être risqué.
Le bon réflexe se forme avant l’incident.
Découvre la formation cybersécurité automatisée Kaspersky ASAP
Extensions Chrome malveillantes : ce qu’il faut retenir
Les extensions Chrome malveillantes sont dangereuses parce qu’elles se cachent dans un geste banal. L’utilisateur pense installer un confort. L’entreprise récupère un risque de lecture, d’injection ou de vol de session.
Le bon réflexe est rapide : vérifier, supprimer, signaler. Si une extension semble suspecte, signale-la depuis le Chrome Web Store. En doute, désinstalle. Une extension non indispensable ne mérite pas un accès permanent à tes comptes métiers.
Tu veux vérifier sans te compliquer la vie ?
Eur'Net est référencée Cybermalveillance.gouv.fr, activatrice France Num et partenaire Gold Kaspersky depuis 1997. À titre personnel et bénévole, je suis également engagé comme Aidant MonAideCyber via l'association Assistic. Mon credo : un sinistre cyber, ce n'est plus "si" mais "quand". La question, c'est : vous regardez le tsunami arriver depuis la plage, ou vous apprenez à surfer et vous préparez vos plans A, B, C ?
Entre deux diagnostics, j'élève aussi des IA bio au grand air.
