Certains considèrent les extensions de navigateur comme une pièce essentielle du puzzle, tandis que d’autres les perçoivent comme un danger. Alors, comment une chose aussi insignifiante peut-elle poser un tel problème aux utilisateurs ?
Prenons un récent rapport de Vulnerable U concernant le service de prévention des pertes de données Cyberhaven, qui a découvert qu’une extension Chrome utilisée par plus de 400 000 de ses clients contenait du code permettant de voler leurs données privées/sensibles. Cette extension est restée disponible pendant plus de 30 heures avant d’être supprimée.
La version malveillante de l’extension contenait un courriel de spear-phishing indiquant qu’elle n’était pas conforme aux conditions d’utilisation de Google et qu’elle serait révoquée si le développeur n’intervenait pas immédiatement. En cliquant sur le lien, un écran de consentement s’ouvrait, demandant des autorisations d’accès à une application OAuth appelée « Privacy Policy Extension ». Cela permettait alors à un attaquant de télécharger une nouvelle version malveillante de l’extension.
Cette histoire devient de plus en plus courante : un élément aussi inoffensif qu’une extension contient un code malveillant prêt à voler vos secrets et vos données. Il est plus difficile de se protéger dans un monde numérique. En ce qui concerne les extensions de navigateur, il incombe malheureusement à l’utilisateur final d’être vigilant quant à ce qu’il installe sur son ordinateur.
Dans ce contexte, comment assurer votre sécurité et éviter d’installer des extensions de navigateur dangereuses ?
Voici cinq façons de savoir si vous pouvez faire confiance à une extension.
1 Privilégiez les extensions des grandes entreprises
Ma première règle est de ne faire confiance qu’aux extensions publiées par les grandes entreprises. Cela ne veut pas dire qu’il ne faut pas exclure un seul développeur ou une petite équipe, mais c’est toujours le moyen le plus simple de s’assurer de ne pas se faire piéger par une campagne malveillante.
2 N’ajoutez que ce dont vous avez besoin
Cette règle suivante est similaire à celle que j’utilise pour les appareils mobiles : n’installez que les éléments indispensables. J’ai également tendance à limiter mes extensions de navigateur au strict minimum.
Vous pourriez tomber sur une extension prétendant pouvoir vous faire économiser des milliers d’euros lors de vos achats en ligne. Cependant, l’adage « Si c’est trop beau pour être vrai, c’est probablement le cas » s’applique. Je ne compte plus le nombre de fois où j’ai dû supprimer des extensions d’achat des navigateurs des utilisateurs parce qu’ils étaient tombés dans le panneau.
3 Préparez le terrain
Effectuez quelques recherches avant d’installer une extension. Consultez les avis et le nombre de téléchargements. Si ce dernier est faible ou qu’il y a très peu d’avis, évitez cette extension.
4 Vérifier les mises à jour
Vérifiez toujours la date de la dernière mise à jour de l’extension. J’ai tendance à faire confiance aux extensions régulièrement mises à jour.
L’un des problèmes liés à l’installation d’extensions de navigateur non mises à jour depuis un certain temps est le risque de failles de sécurité non corrigées. En règle générale, si un logiciel n’a pas été mis à jour au cours des 30 derniers jours, je me méfie immédiatement et je me renseigne auprès du développeur pour voir s’il a abandonné le projet ou s’il a une réputation douteuse.
5 Pensez aux autorisations
Enfin, vérifiez les autorisations requises par une extension. Par exemple, si vous ajoutez une extension qui n’a aucune raison d’accéder à la saisie au clavier ou à votre webcam, réfléchissez-y à deux fois avant de l’installer.
Dans Chrome, ouvrez un onglet sur chrome://extensions. Sur chaque extension, cliquez sur Détails et consultez les autorisations requises. Dans Firefox, allez dans Modules complémentaires et thèmes > Extensions et cliquez sur une extension. Sur la page qui s’affiche, cliquez sur l’onglet Autorisations et consultez les autorisations requises pour l’extension. Si vous constatez quelque chose de suspect, supprimez immédiatement l’extension.
Malheureusement, ce genre de situation ne va pas disparaître. Malgré toute l’attention des développeurs de navigateurs en matière de sécurité, les acteurs malveillants ont toujours une longueur d’avance. Face à ce problème, posez-vous toujours la question : ai-je besoin de cette extension ? Si la réponse est non, ne l’installez pas.