Les extensions de navigateur vous espionnent, même si leurs développeurs ne le font pas

Par Robert Vitonsky

Les extensions de navigateur vous espionnent, même si leurs développeurs ne le font pas, par Robert Vitonsky

J'ai développé quelques extensions de navigateur et, chaque semaine, je reçois de nombreux courriels contenant une « offre de revenus ». Certains développeurs expérimentés savent que de telles offres injecteront des logiciels malveillants dans les navigateurs de vos utilisateurs, mais les escrocs qui font ces offres ne vous le diront pas. Ils proposent des « intégrations » qui ne semblent pas si suspectes. Imaginez le nombre de développeurs qui ont accepté ces offres. Ensuite, regardez le nombre d'extensions dans votre navigateur et réfléchissez au risque que vous ayez une extension contenant des logiciels malveillants.


Les extensions de navigateur peuvent demander un grand nombre d'autorisations, qui peuvent être nécessaires pour mettre en œuvre certaines fonctionnalités et améliorer l'expérience de l'utilisateur. Cependant, le fait de disposer d'autorisations étendues peut augmenter la surface d'attaque des pirates informatiques. C'est pourquoi les extensions de navigateur sont une cible de choix pour les pirates.

Les extensions de navigateur peuvent accéder à n'importe quel contenu d'une page, comme les courriels, les messages privés dans les médias sociaux et les informations sur les comptes bancaires. Les extensions peuvent également capturer les touches pressées et envoyer les mots de passe aux pirates. Les données collectées peuvent être vendues ou utilisées par les pirates pour voler de l'argent, des identités ou pour faire du chantage.

Ces dernières années, les extensions de navigateur ont commencé à insérer des publicités sur les pages web. Voici comment cela fonctionne : un développeur d'extension de navigateur s'inscrit sur une plateforme publicitaire et crée un compte pour une application. Il injecte ensuite des publicités sur toutes les pages web visitées par les utilisateurs et gagne de l'argent grâce aux clics. Parfois, même la plateforme publicitaire ne sait pas comment le développeur génère des clics.

Ce ne sont pas les seules façons dont les pirates peuvent utiliser des logiciels malveillants dans votre navigateur. Ils peuvent également cliquer sur des liens, ouvrir des sites en arrière-plan à des fins de DDoS, etc. L'essentiel est que votre navigateur soit partagé avec un pirate.

Voyons comment les extensions peuvent être détournées si le développeur n'est pas un pirate.

Offres de monétisation des escrocs

Le développeur d'une extension peut même ne pas être un pirate informatique, mais une extension peut être piratée par un tiers parce que le programmeur est un ingénieur peu qualifié qui ne peut pas détecter les escroqueries. L'ingénierie sociale fonctionne également sur les programmeurs.

J'ai souvent reçu des courriels de ce type :


Le problème que nous rencontrons est que certains développeurs acceptent des offres de ce type parce qu'ils ne comprennent pas qu'il s'agit d'une escroquerie. En conséquence, les pirates de la capture d'écran ci-dessus injectent des logiciels malveillants dans les extensions claires ayant une bonne réputation.

Il se peut que les développeurs ne voient même pas le problème et qu'ils se contentent d'inclure un code tiers qui ne semble pas être un logiciel malveillant et qui accomplit en fait ce que les escrocs prétendent. Par exemple, il peut ajouter des suggestions Bing aux recherches.

Les logiciels malveillants peuvent intentionnellement ne pas s'exécuter pour certaines personnes, comme les développeurs et les évaluateurs des magasins d'applications, mais ils s'exécutent pour les utilisateurs. C'est pourquoi il n'est pas sûr d'intégrer des ressources externes telles que du code JavaScript, mais les développeurs le font sous différents prétextes.

Si vous êtes un développeur et que vous envisagez une offre de ce type, n'oubliez pas que non seulement vous trahissez les utilisateurs qui vous font confiance, mais que votre extension sera également supprimée partout dans quelques mois lorsqu'un nombre suffisant de rapports auront été envoyés par les utilisateurs.

Offres d'achat du projet

Hormis les « offres de monétisation », mon dossier de spam contient également des offres de ce type.


L'idée est la même : les escrocs proposent d'acheter un projet (généralement pour une somme ridicule de 10 000 dollars), mais en réalité ils veulent acheter des utilisateurs pour les pirater et les voler.

Comment se protéger

Comme vous pouvez le constater, même si le développeur d'une extension n'est pas un pirate, vous êtes toujours en danger car l'extension peut toujours être piratée.

Les boutiques d'applications pour navigateurs tentent de « modérer les extensions », mais cela signifie généralement que les extensions sont analysées à l'aide d'outils automatisés qui tentent de détecter des schémas de logiciels malveillants. Dans les cas où un pirate informatique se cache bien, un robot approuvera la nouvelle version.

Pour réduire les risques, vous devriez limiter le nombre d'extensions que vous utilisez et vous renseigner sur l'extension et son auteur avant de l'installer.

L'auteur doit être une personne réelle avec une présence sur GitHub et sur les médias sociaux, et non une personne quelconque.

L'auteur doit être un programmeur et un pirate informatique hautement qualifié ; dans le cas contraire, il peut être facilement trompé par des escrocs.

Les extensions de navigateur doivent être open-source. Si vous ne pouvez pas trouver les sources de l'extension, vous pouvez être sûr qu'il s'agit d'un logiciel malveillant.

Moins le code de l'extension a de dépendances, mieux c'est en termes de sécurité.

N'installez jamais d'extensions au hasard sans avoir vérifié les antécédents.

Ce que les développeurs d'extensions doivent faire pour protéger leurs utilisateurs

N'autorisez jamais l'intégration de contenu provenant de serveurs externes. Cela concerne principalement les scripts, mais les pages externes dans les iframes ou les ressources statiques telles que les fichiers multimédias peuvent également être utilisées par des escrocs pour collecter les adresses IP de vos utilisateurs ou afficher des contenus inacceptables.

Les grands pouvoirs s'accompagnent de grandes responsabilités. Vous devez être un pirate informatique pour détecter et rejeter les offres d'intégration des escrocs. La seule façon d'y parvenir est d'écrire du code tous les jours et d'essayer de nouvelles choses pour enrichir votre expérience.

Vous devez également rendre votre code accessible à d'autres programmeurs pour qu'ils puissent le développer. Ils pourraient détecter votre activité suspecte. Ajoutez une documentation qui explique les principes de conception clés de votre logiciel et invitez d'autres développeurs à examiner et à auditer votre code.

Source : "Browser extensions spy on you, even if its developers don't"

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Ne devinez pas ma langue : Si vous utilisez encore la géolocalisation IP pour déterminer la langue à afficher, arrêtez de perdre votre temps, par Robert Vitonsky

51 % des extensions de navigateur présentent un risque élevé pour les entreprises et les données stockées dans Google Workspace et Microsoft 365

Zecento : j'ai passé deux ans à développer une extension Chrome, perdu 15 000 $ dans le processus et gagné 200 $. Un développeur raconte son expérience