• 10 avril 2026
• Groupe Hurter & Co
• Général

Extensions après un rachat : comment éviter qu’une mise à jour ne devienne une menace

Après un rachat, une extension de navigateur ne change pas seulement de main : elle peut changer de nature. C’est précisément ce qui en fait un sujet critique pour les équipes produit, les RSSI et les responsables IT, surtout lorsque l’extension est déjà installée à grande échelle dans les postes de travail ou les environnements SaaS.

Les signaux récents sont clairs : Microsoft a documenté en mars 2026 des extensions Chromium de type assistant IA qui collectaient l’historique d’URL et des contenus de chats IA, avec environ 900 000 installations et une activité observée dans plus de 20 000 tenants d’entreprise. Le point de bascule n’est pas forcément une installation frauduleuse ; il peut s’agir d’une simple mise à jour après changement de propriétaire, suffisante pour transformer un outil légitime en menace.

Pourquoi le rachat change la donne

Un rachat modifie la chaîne de confiance. L’identité du développeur, les pratiques de maintenance, le contrôle des clés de signature, les accès au store et la gouvernance de la mise à jour peuvent tous évoluer en quelques jours. Pour les utilisateurs, l’extension reste “la même” en apparence, mais côté sécurité, le contexte a changé.

Ce type de risque est souvent sous-estimé parce qu’il ne ressemble pas à une compromission classique. Il ne s’agit pas nécessairement d’un binaire malveillant injecté de manière brute : la menace peut apparaître via un comportement normal d’extension, après une mise à jour publiée par le nouveau propriétaire ou par un acteur ayant repris le contrôle développeur.

Des analyses publiées en 2025 ont déjà montré des extensions devenues dangereuses après un changement de propriétaire ou de contrôle. Le rachat est donc un point de bascule à surveiller avec la même rigueur qu’un changement d’infrastructure, de fournisseur SaaS ou de certificat de production.

Quand la mise à jour devient une surface d’attaque

Le scénario “update-to-malware” est particulièrement efficace parce qu’il exploite un réflexe de confiance. Les équipes de sécurité, les administrateurs et les utilisateurs ont tendance à considérer la mise à jour comme une amélioration, voire une obligation d’hygiène. Or, si la chaîne de mise à jour est compromise, l’actualisation devient le vecteur d’infection.

Microsoft a souligné que la persistance des extensions observées reposait sur le comportement normal des extensions de navigateur, plutôt que sur des techniques de malware classiques. Cela signifie qu’une extension peut conserver ses autorisations, s’exécuter en arrière-plan et accéder aux données du navigateur sans déclencher les alertes habituelles d’un antivirus traditionnel.

Cette réalité n’est pas limitée aux environnements d’entreprise. À la fin de 2025, des campagnes ont montré que des extensions Chrome et Edge apparemment normales pouvaient basculer en spyware après une mise à jour malveillante, avec des millions d’utilisateurs concernés. Le risque est donc systémique, transversal, et durable.

Pourquoi les assistants IA de navigateur sont particulièrement exposés

Les extensions liées à la productivité et à l’IA sont aujourd’hui parmi les plus crédibles aux yeux des utilisateurs. Elles s’intègrent dans les flux de travail quotidiens, accèdent aux pages visitées, aux interfaces web d’outils internes et aux chats IA. Cette proximité fonctionnelle leur donne une couverture parfaite pour collecter discrètement des données sensibles.

Dans son rapport de mars 2026, Microsoft a décrit des extensions de type assistant IA capables de récolter l’historique d’URL et le contenu de conversations avec des modèles de langage. Le problème n’est pas seulement l’exfiltration brute : c’est le fait que ces données aient une forte valeur stratégique, qu’elles contiennent souvent du contexte métier, des informations clients ou des éléments de propriété intellectuelle.

Autrement dit, l’extension “utile” d’hier peut devenir le canal d’exfiltration de demain. Dans un navigateur, les permissions sont souvent larges, et lorsqu’une extension semble légitime, les contrôles humains sont faibles. C’est précisément cette zone de confiance qui rend la menace si difficile à détecter après un rachat.

Le store officiel n’est pas une garantie absolue

Un réflexe courant consiste à penser que la présence dans un store officiel suffit à établir la sûreté d’une extension. Pourtant, les sources récentes montrent l’inverse : une extension distribuée via le Chrome Web Store peut aussi impacter Edge, et le canal de distribution officiel ne garantit pas l’absence de dérive malveillante après mise à jour.

Les éditeurs eux-mêmes posent des exigences de sécurité claires. Les politiques de Microsoft Edge demandent que les extensions soient exemptes de code malveillant pour préserver l’intégrité de l’écosystème. Cela confirme un point essentiel : la confiance dans une extension ne repose pas uniquement sur son origine, mais sur son état à un instant donné et sur sa capacité à rester conforme dans le temps.

Mozilla a également renforcé ses efforts en 2025 avec un nouveau système de consentement aux données et des mécanismes d’identification d’extensions frauduleuses. Ces initiatives vont dans le bon sens, mais elles restent en grande partie réactives. La défense ne peut donc pas se limiter à la validation initiale au moment de l’installation.

Ce qu’il faut contrôler après un rachat

Après un changement de propriétaire, la première question à poser n’est pas “l’extension fonctionne-t-elle encore ?” mais “qu’est-ce qui a changé dans sa chaîne de confiance ?”. Il faut documenter l’identité du nouveau détenteur, l’historique des versions, les dépendances externes, les permissions demandées et la politique de collecte de données.

Ars Technica rappelait qu’une liste d’actifs approuvés devrait idéalement spécifier une version précise à faire confiance et refuser toutes les autres. Ce principe est particulièrement pertinent après un rachat : si vous faites confiance à une extension “par nom” sans figer la version, une mise à jour malveillante peut passer silencieusement sous le radar.

En pratique, cela implique d’intégrer les extensions au même niveau que les autres composants supply chain. Il faut tracer les changements de propriétaire, exiger une revue de sécurité avant toute mise en production, et établir un processus de validation avant autorisation dans les environnements sensibles.

Mesures défensives concrètes pour les équipes IT et sécurité

La première mesure consiste à surveiller activement les mises à jour. Cela peut passer par une veille sur les changements de version, les journaux d’administration du navigateur, les alertes du store et les variations de permissions. Une extension qui ajoute soudainement l’accès à l’historique, aux onglets ou au contenu des pages doit déclencher une revue immédiate.

La deuxième mesure est de limiter les permissions au strict nécessaire. Une extension de productivité n’a pas toujours besoin d’un accès étendu à tous les sites, à l’historique complet ou aux pages de chat IA. Plus les permissions sont larges, plus la compromission post-update devient rentable pour un attaquant.

Enfin, il est recommandé de maintenir une liste d’extensions approuvées avec une version figée plutôt que de faire confiance à une extension simplement parce qu’elle vient du store. Dans les environnements où la sensibilité des données est forte, la mise à jour doit être un événement contrôlé, pas un automatisme incontrôlé.

Ce que révèle la vague d’extensions compromises

Les rapports de 2025 et 2026 décrivent un schéma désormais récurrent : des extensions malveillantes, parfois présentes depuis longtemps, exploitent les permissions du navigateur pour exfiltrer des données, détourner des sessions ou espionner les interactions. Certains lots signalés en janvier 2026 remontaient même à 2020, ce qui montre combien une dérive peut rester invisible pendant des années.

Les campagnes les plus récentes confirment aussi que l’attaque par mise à jour ne concerne pas seulement Chrome. Firefox, Edge et d’autres navigateurs sont exposés, ce qui rend le problème plus large qu’un simple incident de catalogue. Dès lors qu’une extension dispose d’une base installée importante et d’un mécanisme de mise à jour centralisé, elle peut devenir une arme de supply chain.

Le message est donc simple : la confiance initiale n’est pas suffisante. Dans un monde où l’IA s’invite dans le navigateur et où les extensions ont des accès profonds au contexte utilisateur, le contrôle doit porter sur la durée, la provenance, les permissions et la version réellement exécutée.

Pour les entreprises, cela implique un changement de posture. Une extension n’est pas un gadget de navigateur ; c’est un composant logiciel avec une chaîne d’approvisionnement, une surface d’attaque et un cycle de vie. Après un rachat, cette réalité devient encore plus critique, car le risque n’est pas seulement qu’un produit évolue : c’est qu’il change de confiance sans changer de nom.

La meilleure défense combine gouvernance, inventaire, contrôle de version et surveillance continue. Autrement dit, il faut traiter chaque mise à jour comme un événement de sécurité potentiel. C’est à ce prix qu’une extension utile restera un outil, et ne deviendra pas une menace.