navigateurs internet icones

Extensions de navigateur : quand les add-ons deviennent des espions silencieux

Bloquer les publicités, améliorer sa productivité, trouver des bons plans ou personnaliser son navigateur… Les extensions de navigateur, aussi appelées add-ons ou plugins, font désormais partie du quotidien numérique.

Mais derrière cette apparente utilité se cache une menace largement sous-estimée : certaines extensions sont devenues de véritables outils de vol de données, ouvrant la voie au hack, à la fraude et à l’usurpation d’identité.

Ces derniers mois, plusieurs enquêtes de chercheurs en cybersécurité ont mis en lumière une réalité inquiétante : des millions d’internautes ont été espionnés pendant des années, sans le moindre signal d’alerte.

Aujourd’hui, ID Protect fait le point sur ces menaces d’un genre nouveau.

Une menace bien réelle : des millions d’utilisateurs espionnés

En janvier 2026, une enquête publiée par Le Journal du Geek révèle l’existence d’une vaste opération d’espionnage numérique ayant touché Chrome, Edge et Firefox.

Pendant plus de sept ans, des extensions apparemment inoffensives ont siphonné des données sensibles à grande échelle.

Trois campagnes majeures ont été identifiées par les chercheurs de Koi Security :

  • ShadyPanda
  • DarkSpectre (alias “Zoom Stealer”)
  • GhostPoster

Leur point commun ?

Des extensions banales (outils de productivité, faux VPN, utilitaires divers), validées par les boutiques officielles, parfois notées cinq étoiles… mais contenant des mécanismes d’espionnage sophistiqués.

Add-on de navigateur ou cheval de Troie ?

fichier

Le cas ShadyPanda : la fraude à grande échelle

La campagne ShadyPanda aurait touché à elle seule plus de 5,6 millions d’utilisateurs. Son objectif initial :

  • détourner des requêtes de recherche,
  • injecter de la publicité,
  • générer de la fraude à l’affiliation.

Mais l’opération a évolué vers des formes bien plus graves : collecte massive de données de navigation, espionnage des comportements en ligne et exécution de code à distance.

Certaines extensions intégraient même des “bombes logiques” : le code malveillant ne s’activait qu’après plusieurs jours, afin de contourner les contrôles de sécurité automatisés.

DarkSpectre : l’espionnage des réunions professionnelles

La campagne DarkSpectre marque un tournant particulièrement alarmant. 18 extensions ont été identifiées comme capables de collecter en temps réel :

  • liens de réunions avec mots de passe intégrés,
  • identifiants Zoom, Google Meet, Teams,
  • intitulés de réunions, horaires, listes de participants,
  • métadonnées professionnelles (noms, fonctions, logos, visuels marketing).

Selon les chercheurs « Ce n’est pas une arnaque pour consommateurs. C’est une infrastructure d’espionnage d’entreprise. »

Nous ne sommes plus face à une simple nuisance publicitaire, mais à une menace stratégique, pouvant conduire à de l’espionnage industriel, des attaques ciblées et des fraudes complexes.

GhostPoster : la fraude publicitaire en arrière-plan

La campagne GhostPoster ciblait quant à elle le navigateur Firefox à travers des extensions présentées comme de simples utilitaires ou de faux VPN. Une fois installées, ces extensions injectaient du code JavaScript destiné à manipuler les liens affiliés et à insérer des traceurs publicitaires à l’insu des utilisateurs.

Discrète et sans impact visible sur la navigation, GhostPoster a permis à certaines extensions de cumuler des centaines de milliers d’installations avant d’être détectées.

Si son objectif principal était la monétisation frauduleuse, cette campagne démontre surtout qu’un plugin navigateur peut injecter du code à distance, ouvrant la voie à des attaques plus graves, comme le vol de données, la fraude et l’usurpation d’identité.

Les “extensions dormantes” : une stratégie redoutable

Une autre enquête, publiée par Malwarebytes, met en lumière une technique encore plus perverse : les extensions dites « dormantes » (“sleeper extensions”) :

  • L’extension est légitime pendant des années.
  • Elle gagne la confiance des utilisateurs.
  • Elle obtient parfois le statut “Featured” ou “Verified”.
  • Une mise à jour silencieuse transforme l’add-on en spyware.

Résultat : 4,3 millions d’appareils infectés, sans phishing, sans clic suspect, sans alerte.

L’exemple le plus marquant est WeTab, une extension de productivité installée sur près de 3 millions de navigateurs Edge, devenue capable de :

  • surveiller les URL visitées,
  • aspirer les recherches,
  • exécuter du JavaScript malveillant à distance.

Quelles données sont réellement volées ?

Contrairement aux idées reçues, il ne s’agit pas seulement d’historique de navigation. Les extensions malveillantes peuvent accéder à :

  • identifiants et mots de passe,
  • cookies de session (permettant de se connecter sans mot de passe),
  • données bancaires,
  • frappes clavier (keylogging),
  • contenus de formulaires,
  • données stockées localement,
  • empreintes numériques du navigateur,
  • conversations avec des outils d’IA,
  • données professionnelles sensibles.

Certaines extensions vont jusqu’à surveiller les mouvements de souris, injecter du code dans des sites légitimes et lancer des attaques de type adversary-in-the-middle, facilitant le vol de comptes et la fraude financière.

Pourquoi les boutiques officielles ne sont pas un gage de sûreté

Chrome Web Store, Edge Add-ons, Firefox Add-ons … Beaucoup d’utilisateurs pensent être protégés par ces plateformes. Or, les faits montrent le contraire :

  • Les contrôles portent surtout sur la première version.
  • Les mises à jour sont beaucoup moins surveillées.
  • Les avis peuvent être faux ou manipulés.
  • Les badges “vérifié” ou “mis en avant” ne garantissent rien sur le long terme.

Les cybercriminels l’ont bien compris et exploitent cette faille structurelle.

Des conséquences directes : fuite de données, arnaques et usurpation d’identité

Une fuite de données causée par une extension malveillante peut avoir des effets en cascade :

  • piratage de comptes email,
  • fraude bancaire,
  • arnaques ciblées (spear phishing),
  • détournement d’identité,
  • revente de données sur le dark web,
  • compromission de comptes professionnels.

Une fois les données aspirées, il est souvent impossible de revenir en arrière.

Comment se protéger efficacement ?

logiciel de securite

🛡 1. Réduire et auditer régulièrement ses extensions

Chaque plugin navigateur constitue une surface d’attaque supplémentaire. Limitez vous à 5 à 7 extensions maximum. Faites régulièrement le tri dans vos extensions et supprimez sans hésiter celles que vous n’utilisez plus ou dont vous ne comprenez plus l’utilité.

🔍 2. Vérifier attentivement les permissions demandées

Avant toute installation, examinez les autorisations demandées par l’extension. Une extension qui réclame le droit de « lire et modifier toutes les données des sites visités » doit être considérée comme à risque élevé, sauf justification claire et cohérente avec sa fonction.

Un outil simple (météo, calculatrice, fond d’écran) n’a aucune raison légitime d’accéder à vos cookies ou contenus web.

⚙️ 3. Utiliser des outils de sécurité pour scanner et bloquer les menaces

Pour compléter la vigilance humaine, certaines solutions logicielles et extensions spécialisées aident à détecter, bloquer ou réduire le risque d’extensions malveillantes ou de contenus dangereux :

✅ Extensions de sécurité du navigateur

  • Malwarebytes Browser Guard – bloque publicités, traqueurs, sites malveillants et certains comportements suspects dans le navigateur.
  • Norton Safe Web – extension qui analyse les sites visités et signale les contenus potentiellement dangereux.
  • McAfee WebAdvisor – indique la sécurité des pages web directement dans le navigateur.
  • ExtShield – Extension Security Scanner – outil conçu pour scanner et évaluer le risque des extensions installées dans le navigateur.
  • WebDefender: Antivirus & Privacy Protection – ajoute une couche de protection contre les sites suspects et peut détecter certaines extensions douteuses.

Ces extensions ne remplacent pas un antivirus complet, mais elles renforcent la sécurité de la navigation et peuvent bloquer ou signaler des comportements anormaux liés à des extensions ou à des sites malveillants.

🖥️ Logiciels anti-spyware / anti-malware

Pour analyser plus profondément l’ensemble de votre système (y compris les composants liés au navigateur) :

  • WiperSoft – anti-spyware conçu pour détecter et supprimer des logiciels espions, hijackers et programmes potentiellement indésirables.
  • Solutions antivirus complètes (comme Avast, Bitdefender, Kaspersky, Norton, etc.) – bien qu’elles ne détectent pas toujours directement les extensions malveillantes dans le navigateur, elles peuvent identifier des comportements suspects et des logiciels associés à des menaces plus larges.

Attention : aucun outil n’est infaillible — certains spywares dans des extensions peuvent rester invisibles aux antivirus traditionnels car ils s’exécutent à l’intérieur du navigateur lui-même (et non comme logiciel système classique).

🔐 4. Mettre à jour ses mots de passe et renforcer l’authentification

En cas de doute ou après la suppression d’une extension suspecte :

  • changez immédiatement les mots de passe sensibles (email, banque, réseaux sociaux),
  • activez la double authentification (2FA) partout où c’est possible,
  • évitez toute réutilisation de mots de passe.

Cela limite fortement les risques de fraude et d’usurpation d’identité, même si certaines données ont déjà fuité.

🧠 5. Séparer les usages pour limiter l’impact d’une compromission

Adopter une hygiène numérique compartimentée permet de réduire considérablement les risques :

  • un navigateur ou profil sans aucune extension pour la banque, l’administratif et les comptes critiques ;
  • un autre navigateur ou profil pour la navigation courante, avec quelques extensions strictement nécessaires.

Ainsi, même si une extension venait à être compromise, l’accès aux données les plus sensibles resterait limité.

Extensions de navigateur : un risque encore sous-estimé

Les enquêtes récentes montrent une chose claire : les extensions de navigateur sont devenues un vecteur majeur de cybercriminalité.

Silencieuses, persistantes, souvent invisibles, elles constituent un outil idéal pour le hack, la fraude, l’arnaque et l’usurpation d’identité.

Chez ID Protect, nous savons qu’une identité numérique compromise peut avoir des conséquences durables, personnelles comme professionnelles.

Surveiller les fuites de données, détecter l’usage frauduleux des informations personnelles et accompagner les victimes fait partie intégrante d’une stratégie moderne de cybersécurité.

La meilleure défense reste la prévention, mais lorsqu’il est déjà trop tard, être accompagné fait toute la différence.

Découvrez sans plus attendre nos formules d’accompagnement et de prévention pour protéger vos données et votre identité.


Aller plus loin : FAQ

installation

Quelles extensions de navigateurs faut-il éviter ?

Veillez à vous méfier des extensions qui :

  • proviennent de développeurs inconnus ou sans historique vérifiable ;
  • demandent des permissions excessives (accès à toutes les données de navigation, modification des sites, etc.) ;
  • ont un grand nombre d’installations mais des avis vagues ou générés par des bots ;
  • n’ont pas été mises à jour depuis longtemps ;
  • prétendent être des « VPN gratuits », « bloqueurs miracles » ou outils tout-en-un sans raison apparente.

Ces types d’extensions sont fréquemment utilisés par des campagnes malveillantes pour voler des données, injecter des publicités ou installer du code dangereux silencieusement. Des incidents récents ont montré que de fausses extensions « utilitaires » peuvent injecter des scripts et capter l’activité de navigation même après des millions d’installations.

Exemples d’extensions qui ont été impliquées dans des campagnes malveillantes ou suspectes :

  • Clean Master – extension présentée comme outil de nettoyage, mais intégrée dans la campagne ShadyPanda avec des fonctionnalités de collecte de données et de backdoor.
  • WeTab / WeTab 新标签页 – extension de productivité devenue un spyware capable de suivre les URLs visitées, les requêtes de recherche et d’autres données sensibles.
  • Infinity V+ New Tab et diverses variantes « Infinity New Tab » – présentes dans la liste des extensions malveillantes de la même campagne.
  • Urban VPN Proxy – très populaire, mais documentée pour siphonner les entrées de prompts vers des IA et potentiellement d’autres données sensibles après une mise à jour malveillante.
  • Plusieurs add-ons Firefox liés à GhostPoster – des extensions de type VPN et ad blockers ont été retirées après qu’on ait constaté qu’elles plantaient des backdoors, suivaient l’activité et facilitaient la fraude publicitaire.
  • Serious DataSpii extensions telles que Hover Zoom ou SaveFrom.net Helper – historquement identifiées comme ayant exfiltré de l’information privée via des extensions.

Attention : ces extensions peuvent avoir été supprimées des boutiques officielles, mais si elles ont déjà été installées sur un navigateur, elles peuvent toujours être actives et collecter des données silencieusement.

Peut-on faire confiance aux stores officiels (Chrome Web Store, Firefox Add-ons, Edge Add-ons) ?

Pas complètement.

Les boutiques officielles font des contrôles de base, mais :

  • elles ne réévaluent pas systématiquement chaque mise à jour des extensions ;
  • certaines extensions peuvent être compromises après publication ;
  • même des extensions « vérifiées » ou « mises en avant » ont déjà été exploitables.

Conclusion : installer à partir des boutiques officielles est préférable à télécharger ailleurs, mais ce n’est pas une garantie de sécurité. Vigilance et audits réguliers restent indispensables.

Quel navigateur est le plus sûr d’utilisation ?

Il n’existe pas de « navigateur 100 % sécurisé », mais certains accordent davantage de place à la sécurité et à la protection de la vie privée par défaut.

  • Google Chrome : Le navigateur le plus utilisé au monde (environ 65 % de part de marché). Il bénéficie d’un bon niveau de sécurité technique et de mises à jour fréquentes, mais son écosystème très large d’extensions et sa popularité en font une cible privilégiée pour les cybercriminels. Chrome reste aussi plus permissif en matière de collecte de données par défaut.
  • Safari : Environ 18 à 20 % de part de marché, principalement chez les utilisateurs Apple. Safari intègre des mécanismes avancés de protection contre le pistage et limite certaines extensions, ce qui réduit la surface d’attaque. En revanche, son usage est étroitement lié à l’écosystème Apple.
  • Firefox : Environ 3 % de part de marché. Open-source et très configurable, Firefox permet un contrôle fin des paramètres de confidentialité. Sa base d’utilisateurs plus réduite le rend un peu moins ciblé, sans pour autant le rendre immunisé.
  • Opera : Environ 2 % de part de marché. Opera intègre des fonctions de confidentialité et un VPN “intégré”, mais repose sur Chromium et reste dépendant d’un modèle plus opaque. Il a déjà été la cible de controverses liées à des extensions et services tiers.
  • Brave : Autour de 1 % de part de marché, mais en croissance. Brave bloque par défaut publicités, traqueurs et scripts intrusifs, ce qui en fait un excellent compromis sécurité / simplicité pour le grand public.
  • DuckDuckGo Browser (mobile) : Part de marché marginale, mais conçu pour réduire drastiquement le suivi en ligne, notamment sur smartphone.

Pour un anonymat avancé, des navigateurs spécialisés comme Tor Browser restent les plus efficaces pour masquer l’identité et l’activité en ligne. En contrepartie, ils sont moins adaptés à un usage quotidien classique.

Plus un navigateur est répandu, plus il devient attractif pour les hackers. Chrome, Safari et Edge concentrent donc mécaniquement davantage :

  • d’extensions malveillantes,
  • de campagnes de masse,
  • de tentatives de vol de données.

En conséquence, Brave et Firefox apparaissent comme de bons compromis entre sécurité, confidentialité et facilité d’usage, tandis que Chrome, bien que robuste techniquement, nécessite une hygiène numérique renforcée, notamment sur la gestion des extensions.

Doit-on installer des extensions de sécurité comme bloc-publicités ou anti-tracking ?

Oui — à condition de bien choisir celles qui sont fiables.

Certaines extensions bien établies peuvent renforcer ta sécurité en complément du navigateur, par exemple :

  • Privacy Badger : bloque automatiquement les traceurs invisibles qui collectent tes données de navigation.
  • Ghostery ou Decentraleyes : limitent certains types de suivi et d’injection de ressources externes.
  • Extensions de protection de sites dangereux ou d’avertissement d’URL malveillantes (comme Norton Safe Web).

Toutefois, chaque extension supplémentaire crée aussi un point d’entrée potentiellement exploitable. Il est donc recommandé de n’en installer que le strict nécessaire et d’éviter d’accumuler des outils redondants.

Comment savoir si une extension a déjà été compromise ?

Il n’existe pas de moyen parfait, mais plusieurs signes doivent vous mettre la puce à l’oreille :

  • apparition soudaine de publicités ou de redirections étranges ;
  • changement de ton ou de style des sites que tu visites ;
  • nouvelles permissions demandées sans raison claire ;
  • ralentissement notable du navigateur ;
  • extensions que tu ne reconnais pas.

Si vous détectez l’un de ces symptômes, désinstallez immédiatement l’extension, supprimez les cookies, changez vos mots de passe importants et surveillez votre activité en ligne.

Ils parlent de nous

© 2026 ID PROTECT tout droits réservés

logo that much