Extensions Chrome: fin de Manifest V2, cap sur MV3
La transition de Manifest V2 vers Manifest V3 (MV3) pour les extensions Chrome est un changement majeur dans l’écosystème des navigateurs. Après des années de débats entre Google, développeurs d’extensions et acteurs de la vie privée, Google a repris officiellement le déploiement de MV3 le 30/05/2024 en annonçant des améliorations suite aux retours des développeurs, et en publiant un calendrier précis de dépréciation.
Ce mouvement a des conséquences techniques, pratiques et politiques : nouvelles APIs (Offscreen Documents, User Scripts API), modifications des contrôles des service workers, limites renforcées pour le filtrage de contenu via Declarative Net Request (DNR), et échéances claires (03/06/2024, 31/03/2025, 24/07/2025). Les réactions vont des adaptations techniques aux migrations vers d’autres navigateurs.
Contexte et calendrier officiel
Google a publié une timeline officielle pour la dépréciation de MV2. Les dates-clés incluent le début du phase-out en Beta/Dev/Canary le 03/06/2024, la désactivation par défaut pour MV2 le 31/03/2025 (avec possibilité de réactivation temporaire), puis la désactivation totale le 24/07/2025 (Chrome 138) et la suppression complète de l’option ExtensionManifestV2Availability avec Chrome 139.
En parallèle, dès juin 2024 le Chrome Web Store a commencé à retirer les badges « Featured » des extensions MV2 et à empêcher l’installation d’extensions MV2 depuis le Web Store, accélérant la migration des utilisateurs vers MV3 ou vers d’autres solutions.
Google justifie ce calendrier au nom de la sécurité et de la stabilité : interdiction du chargement de code distant, meilleure gouvernance des workers et réduction des risques d’exécution de code non vérifié par des extensions. Ces changements sont présentés comme des renforts pour l’écosystème, mais induisent des contraintes pour certaines fonctionnalités historiques.
Principales modifications techniques (MV3)
Sur le plan API, MV3 introduit plusieurs nouveautés et restrictions : Offscreen Documents pour permettre l’accès au DOM hors interface visible, un contrôle amélioré de la durée de vie des service workers, et une User Scripts API pour les scripts utilisateurs. Ces ajouts visent à restaurer des capacités perdues lors du passage à des workers sans garder les failles de MV2.
Pour le filtrage réseau, la DNR (Declarative Net Request) reste le cœur du dispositif MV3 avec des quotas plus clairs : un minimum garanti de règles statiques de 30 000 et MAX_NUMBER_OF_DYNAMIC_RULES à 30 000, ainsi que d’autres limites sur le nombre de rulesets statiques activables, les regex et la taille des règles. Ces valeurs répondent en partie aux préoccupations des développeurs mais ne règlent pas tous les cas avancés.
Google a aussi renforcé la règle « no remote code » : MV3 interdit le chargement et l’exécution de code à distance depuis une extension, ce qui réduit certains vecteurs d’attaque mais empêche certains mécanismes dynamiques exploités par des bloqueurs et utilitaires d’extensions.
Impact pour les bloqueurs et les développeurs d’extensions
Les bloqueurs historiques ont rencontré les limites de MV3 : l’absence de webRequest bloquant empêche certaines manipulations fines des en-têtes et des requêtes, et les quotas DNR contraignent les règles dynamiques complexes. Résultat : des versions « lite » ou adaptées ont été proposées, parfois au prix de pertes fonctionnelles.
Raymond Hill (gorhill), auteur de uBlock Origin, a expliqué que « uBOL (uBlock Origin Lite) is too different from uBO to be an automatic replacement » et recommande Firefox pour ceux qui veulent l’expérience uBO complète. Des vagues de désactivations d’extensions MV2 (notamment uBO) ont été rapportées à l’automne 2024 et début 2025, affectant des millions d’utilisateurs.
Google affirme néanmoins que la migration progresse : selon Scott Westover cité par The Verge le 15/10/2024, « the top content filtering extensions all have Manifest V3 versions available » et « over 93 percent of “actively maintained” extensions in the Chrome Web Store are using Manifest V3« . D’autres estimations plus anciennes ou prudentes parlaient d’environ 85% en mai 2024, ce qui montre une variabilité selon la source et la date.
Réactions des navigateurs alternatifs et des communautés
Mozilla a clairement pris position pour préserver la flexibilité : Firefox continue de supporter MV2 et n’a « no plans to deprecate MV2 », tout en implémentant MV3 différemment pour maintenir le webRequest bloquant et plus de possibilités pour les bloqueurs. Mozilla met l’accent sur la compatibilité et le choix des utilisateurs.
Le navigateur Brave a aussi annoncé qu’il continuerait, dans la mesure du possible, à offrir du support pour certains MV2 « privacy-relevant » extensions (uBlock Origin, AdGuard, NoScript, uMatrix) et que ses Shields natifs ne dépendent pas de MV2/MV3. Brave mise sur ses propres outils pour garantir la protection utilisateur même après la migration forcée.
Face à ces changements, une partie de la communauté a migré vers Firefox, d’autres vers des forks ou pratiques de contournement, et des discussions juridiques et techniques ont émergé autour de l’équilibre entre sécurité, vie privée et fonctionnalités avancées.
Mesures temporaires, contournements et conséquences en entreprise
Plusieurs guides pratiques ont décrit des solutions temporaires pour restaurer des extensions MV2 : flags Chrome (chrome://flags), chargement d’extensions unpacked en mode développeur, ou usages d’outils d’administration pour les entreprises. Ces méthodes restent fragiles et destinées à des usages temporaires ou techniques.
Les organisations ont pu utiliser la clé ExtensionManifestV2Availability pour prolonger la compatibilité MV2 jusqu’à juin 2025, mais cette exemption est prévue pour être supprimée avec Chrome 139. En clair, les entreprises doivent planifier la migration, tester les versions MV3 ou envisager des alternatives de navigateur avant les dates fatidiques.
Enfin, le Chrome Web Store a restreint la visibilité et l’installation des MV2 dès juin 2024, ce qui a accéléré la pression sur les développeurs pour publier des versions MV3 ou perdre l’accès à de nouveaux utilisateurs sur Chrome.
Que faire en tant qu’utilisateur ou développeur ?
Pour les utilisateurs : vérifiez les alternatives MV3 recommandées par les auteurs d’extensions, gardez un œil sur les mises à jour officielles et, si besoin, testez Firefox ou Brave pour maintenir certaines fonctionnalités de blocage avancées. Des guides existent pour réactiver provisoirement MV2, mais ce sont des palliatifs temporaires.
Pour les développeurs : consultez les ressources officielles (blog Chrome Developers, docs migrer MV2→MV3, reference declarativeNetRequest) et testez les quotas et limites de la DNR. Tirez parti des améliorations annoncées (Offscreen Documents, User Scripts API, meilleures options pour service workers) et planifiez une réécriture si nécessaire pour éviter la perte d’utilisateurs au moment des désactivations massives.
Sur le plan stratégique, mesurez l’impact fonctionnel des limites MV3, documentez clairement les pertes éventuelles pour vos utilisateurs, et préparez des communications transparentes , la migration est en cours, mais pas indolore pour tout le monde.
En conclusion, la transition vers Manifest V3 est bien engagée et encadrée par des échéances précises, des ajustements techniques et des débats publics intenses. MV3 apporte des garanties de sécurité et des APIs modernisées, mais impose aussi des contraintes réelles pour les bloqueurs et certaines extensions avancées.
Les développeurs, entreprises et utilisateurs doivent s’informer via la documentation officielle et les annonces des navigateurs, tester leurs scénarios, et préparer des plans de migration ou des alternatives. La route vers MV3 est tracée : elle nécessite adaptation, transparence et vigilance.
