Le problème des extensions non auditées
Le Chrome Web Store contient plus de 180 000 extensions. Beaucoup de ces extensions — en particulier celles ajoutant des capacités AI à la navigation web — demandent des autorisations larges : accès à tout le contenu des sites web, accès au presse-papiers, accès au stockage et interception des requêtes réseau.
La recherche USENIX 2025 a révélé que 83 % des extensions Chrome avec des autorisations larges n'ont jamais subi d'audit de sécurité. Ces extensions ont été créées, publiées et installées par des millions d'utilisateurs sans aucune vérification indépendante qu'elles font ce qu'elles prétendent — et rien de plus.
L'écart d'audit de sécurité est une caractéristique structurelle de la manière dont les extensions de navigateur sont distribuées. Le Chrome Web Store effectue un scan automatisé à la recherche de signatures de logiciels malveillants et de violations de politique, mais le scan automatisé ne peut pas évaluer si les pratiques de collecte de données d'une extension sont divulguées avec précision, si les données API sont transmises à des tiers non divulgués, ou si la fonctionnalité déclarée de l'extension est sa fonctionnalité complète.
L'exposition des entreprises
La recherche Forrester 2024 a révélé que 45 % des employés d'entreprise utilisent des extensions de navigateur non approuvées par l'IT. Ce chiffre reflète la manière informelle dont les extensions de navigateur sont généralement adoptées : un employé trouve un outil de productivité, l'installe et l'utilise — sans aucune interaction avec le département IT.
La combinaison de 83 % non audité et de 45 % non approuvé signifie que près de la moitié des employés d'entreprise utilisent des extensions dont les propriétés de sécurité n'ont été vérifiées par personne — et dont l'utilisation n'a pas été sanctionnée par l'organisation responsable des données que ces employés manipulent.
Pour les organisations dans des secteurs réglementés, cela crée une exposition directe en matière de conformité. Un employé des ressources humaines utilisant une extension de navigateur non approuvée qui collecte le contenu du presse-papiers a potentiellement exposé les données personnelles des employés à un tiers non filtré. Un professionnel du droit utilisant un assistant d'écriture AI non approuvé qui accède au contenu des pages a potentiellement exposé des informations confidentielles des clients.
Ce que démontre l'incident des 900K utilisateurs
L'incident de janvier 2026 dans lequel des extensions Chrome malveillantes ont exposé les historiques de chat AI de 900 000 utilisateurs — 600 000 d'une extension, 300 000 d'une autre — illustre le mode de défaillance que décrit le chiffre de 83 % non audité.
Les extensions semblaient fournir une fonctionnalité AI légitime. Elles étaient disponibles dans le Chrome Web Store. Elles avaient des bases d'utilisateurs suffisamment grandes pour suggérer une légitimité. Et elles exfiltraient le contenu des conversations AI vers des serveurs externes.
L'exfiltration était complète dans les 30 minutes suivant l'installation. Au moment où les chercheurs en sécurité ont identifié et signalé les extensions, le contenu de conversation de 900 000 utilisateurs — y compris les informations sensibles que ces utilisateurs avaient discutées avec des outils AI — avait quitté leur contrôle.
Une recherche de Caviard.ai (2025) a révélé que 67 % des extensions Chrome AI collectent des données utilisateur — la majorité de la catégorie des extensions AI. Parmi celles qui collectent des données, la divulgation, les pratiques de sécurité et les destinations de transmission varient énormément.
Le cadre de gouvernance des navigateurs d'entreprise
Pour les équipes de sécurité des entreprises, la réponse appropriée au problème des extensions non auditées n'est pas d'interdire toutes les extensions de navigateur — l'impact opérationnel de cette approche est significatif. Il s'agit d'établir un cadre de gouvernance qui limite l'exposition aux extensions auditées et approuvées pour des fonctionnalités AI spécifiques.
Liste blanche des extensions : Définir la liste approuvée des extensions de navigateur pour les appareils d'entreprise. Révision par l'équipe de sécurité avant l'ajout à la liste. L'application de la politique Chrome Enterprise empêche l'installation d'extensions non figurant sur la liste blanche.
Vérification spécifique aux extensions AI : Les extensions qui traitent des invites AI reçoivent une attention supplémentaire — analyse du trafic réseau pour confirmer les destinations de transmission, révision de la portée des autorisations et vérification de l'identité de l'éditeur.
Contrôles techniques pour le contenu AI : Pour les employés utilisant des outils AI approuvés, des contrôles techniques au niveau du navigateur (plutôt que de se fier au comportement des extensions) interceptent le contenu sensible avant qu'il n'atteigne les fournisseurs AI. Cela découple l'obligation de sécurité de la confiance dans des extensions individuelles.
Le taux de 83 % non audité n'est pas abordable par l'éducation des utilisateurs — les utilisateurs ne peuvent pas auditer eux-mêmes les extensions Chrome. Il est abordable par la gouvernance d'entreprise qui sépare les approuvées des non approuvées, et par des contrôles techniques qui fournissent une protection des données indépendamment du comportement des extensions.
Sources :
- USENIX Security 2025 : "Je n'ai aucune idée de comment le rendre plus sûr" — Mentalités de sécurité des développeurs d'extensions de navigateur
- LayerX 2025 : Rapport de sécurité des extensions de navigateur d'entreprise — utilisation généralisée d'extensions non approuvées
- Incogni 2025 : 67 % des extensions Chrome AI collectent des données utilisateur