IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chrome Web Store infiltré : 287 extensions Chrome exfiltrent massivement l'historique de navigation de 37 millions d'utilisateurs
30 entreprises épinglées dans un système massif d'espionnage

Le , par Stéphane le calme

161PARTAGES

6  0 
Chrome Web Store infiltré : 287 extensions espionnent 37 millions d'utilisateurs
30 entreprises épinglées dans un système massif de collecte de données parmi lesquelles Similarweb, Semrush et ByteDance

Un chercheur en sécurité vient de lever le voile sur un écosystème parallèle inquiétant au cœur du Chrome Web Store. 287 extensions, totalisant 37,4 millions d'installations, exfiltrent massivement l'historique de navigation de leurs utilisateurs vers plus de 30 destinataires, dont des courtiers en données comme Similarweb, Semrush et Big Star Labs. Cette découverte ravive le débat sur la monétisation opaque des extensions de navigateur et les limites du contrôle exercé par Google sur son écosystème et intervient seulement deux mois après que des chercheurs ont découvert que 4,3 millions d'utilisateurs se sont fait piéger par des extensions « légitimes ».

Le chercheur anonyme "Q Continuum", en référence à Star Trek, a publié un rapport détaillé dévoilant une réalité préoccupante : des centaines d'extensions Chrome apparemment inoffensives — gestionnaires de mots de passe, bloqueurs de publicités, outils de productivité — opèrent en réalité comme des mouchards numériques sophistiqués. Ces extensions collectent l'intégralité de l'historique de navigation de leurs utilisateurs et le transmettent à des tiers, souvent à l'insu des personnes concernées.

L'ampleur du phénomène est vertigineuse. Avec 37,4 millions d'installations cumulées, ces extensions touchent potentiellement une population équivalente à celle de la Pologne. Pour environ 20 millions de ces installations, l'entité collectrice demeure inconnue, ce qui laisse présager une face immergée bien plus importante de cet iceberg numérique.

Le modus operandi de ces extensions suit un schéma désormais classique dans l'économie de la surveillance : elles se présentent comme des utilitaires pratiques répondant à des besoins légitimes, demandent des permissions apparemment justifiées, puis exploitent ces accès pour collecter bien plus que nécessaire. L'historique de navigation constitue une mine d'or informationnelle révélant les centres d'intérêt, les habitudes, la santé, les opinions politiques et même l'identité des utilisateurs.

Une méthodologie de détection innovante

Pour identifier ces extensions malveillantes, Q Continuum a développé un système de test automatisé particulièrement ingénieux. Basé sur Docker et Chromium, ce système utilise un proxy man-in-the-middle (MITM) qui exécute des scénarios de navigation synthétiques tout en surveillant le trafic réseau sortant. En corrélant les requêtes HTTP avec les URLs visitées, le chercheur peut détecter avec précision quelles extensions fuient l'historique de navigation.

Cette approche s'inspire des travaux académiques publiés en 2017 par Michael Weissbacher et ses collègues dans leur étude Ex-Ray: Detection of History-Leaking Browser Extensions. La différence majeure réside dans l'échelle et l'automatisation : le pipeline de test de Q Continuum peut analyser des centaines d'extensions de manière systématique, révélant ainsi des patterns à grande échelle invisibles lors d'analyses manuelles.

Les résultats sont sans appel : plus de 30 entreprises ont été identifiées comme destinataires de ces données. Parmi elles figurent des acteurs majeurs de l'analyse web comme Similarweb, des géants technologiques asiatiques tels qu'Alibaba Group et ByteDance, ainsi que des sociétés d'analyse de trafic comme Semrush. Pour environ la moitié des installations concernées, l'identité du collecteur reste mystérieuse, suggérant des réseaux de collecte de données encore plus opaques.


Similarweb : entre légalité et éthique douteuse

Le rapport de Q Continuum place Similarweb au centre de cette problématique. Cette entreprise israélienne spécialisée dans l'analyse de trafic web construit une partie de son modèle économique sur la collecte de données via des extensions de navigateur. Sa politique de confidentialité mentionne explicitement cette pratique, mais dans des termes suffisamment obscurs pour que la plupart des utilisateurs n'en saisissent pas les implications réelles.

Similarweb affirme anonymiser les données collectées côté client et exclure les informations personnellement identifiables. Pourtant, la même politique reconnaît paradoxalement que « certaines de ces données peuvent inclure des données personnelles et sensibles selon les recherches effectuées et le contenu consulté ». Cette contradiction apparente illustre la zone grise juridique dans laquelle évoluent ces pratiques.

Les données d'historique de navigation, même prétendument anonymisées, peuvent souvent être réattribuées à des individus spécifiques. Des recherches académiques ont démontré qu'en croisant l'historique de navigation avec des profils publics sur les réseaux sociaux, il devient possible d'identifier les personnes derrière les données. L'anonymisation promise par ces entreprises s'avère donc souvent illusoire face aux techniques modernes de ré-identification.

La dépendance de Similarweb à ces sources de données apparaît clairement dans ses documents financiers. Un dépôt auprès de la SEC datant de février 2025 stipule : « Notre plateforme et nos solutions dépendent en partie de la capacité à obtenir des données depuis notre réseau contributif via des extensions de navigateur, des applications mobiles et d'autres produits distribués par des plateformes tierces comme le Chrome Web Store, Google Play et l'App Store d'Apple ». Cette phrase révèle à quel point le modèle économique de l'entreprise repose sur cette surveillance diffuse.

Le dilemme de Google face aux extensions malveillantes

Le Chrome Web Store dispose théoriquement d'une politique d'utilisation limitée (Limited Use policy) censée empêcher le partage de données avec des courtiers en données. Mais cette politique comporte une exception exploitable par des entreprises peu scrupuleuses. Le résultat : des extensions violent l'esprit de cette règle tout en respectant formellement sa lettre.

Cette situation n'est pas nouvelle. En décembre 2025, plusieurs extensions de blocage de publicités et de VPN avaient été surprises en train de capturer des conversations avec des chatbots IA. En mars 2025, une étude révélait que des extensions d'intelligence artificielle générative collectaient et partageaient massivement des données sensibles des utilisateurs. Le problème est systémique et récurrent.

Les développeurs d'extensions populaires font par ailleurs face à des sollicitations constantes de la part d'acheteurs intéressés par l'insertion de scripts de collecte de données. Ce marché gris des rachats d'extensions crée une incitation perverse : les créateurs de logiciels utiles sont tentés de monétiser leur base d'utilisateurs en vendant leurs extensions à des entités dont les intentions sont moins honorables.

La modération humaine et algorithmique de Google semble impuissante face à l'ampleur du problème. Le Chrome Web Store héberge des dizaines de milliers d'extensions, rendant pratiquement impossible un contrôle exhaustif et continu. Les extensions malveillantes peuvent fonctionner pendant des mois, voire des années, avant d'être détectées et retirées. Entre-temps, des millions de profils utilisateurs auront été aspirés et monétisés.


L'économie de surveillance généralisée

Le rapport de Q Continuum pose une question philosophique fondamentale : « Pourquoi cela importe-t-il ? » La réponse touche à la moralité même du modèle économique numérique contemporain. Imaginer construire une entreprise dont le fonctionnement repose sur l'exfiltration de données via des extensions d'apparence innocente, puis vendre ces données à de grandes entreprises, révèle un système où l'utilisateur n'est pas le client mais le produit.

Cette réalité s'inscrit dans un contexte plus large où les données personnelles sont devenues « le nouveau pétrole » de l'économie numérique. Chaque site web visité, chaque recherche effectuée, chaque clic enregistré alimente des profils comportementaux d'une précision inquiétante. Ces profils permettent non seulement un ciblage publicitaire ultra-personnalisé, mais aussi des manipulations potentielles dans les domaines politique, commercial et social.

Les victimes de cette surveillance ne sont pas uniquement des particuliers naïfs. Des professionnels, des chercheurs, des journalistes et des employés d'entreprises technologiques installent ces extensions, exposant potentiellement des informations confidentielles et propriétaires. L'historique de navigation peut révéler les stratégies commerciales d'une entreprise, les sources d'un journaliste d'investigation, ou les pistes de recherche d'un scientifique.

L'ironie ultime réside dans le fait que de nombreuses extensions prétendant protéger la vie privée — bloqueurs de publicités, VPN, gestionnaires de cookies — figurent parmi les pires contrevenants. Les utilisateurs soucieux de leur confidentialité qui installent ces outils dans l'espoir de se protéger deviennent en réalité des cibles privilégiées, leurs profils enrichis d'une dimension métacognitive : ils sont conscients des enjeux de vie privée, ce qui en fait des consommateurs particulièrement intéressants pour certains annonceurs.

Que faire face à cette menace ?

Le rapport souligne « le besoin urgent d'une plus grande sensibilisation et de protections plus robustes pour protéger les utilisateurs contre les risques croissants posés par les extensions malveillantes ». Plusieurs axes d'action se dessinent pour les professionnels de l'informatique et les utilisateurs avertis.

Premièrement, adopter une hygiène numérique stricte : n'installer que des extensions strictement nécessaires, provenant de développeurs réputés, avec des politiques de confidentialité transparentes. Chaque extension représente un point d'entrée potentiel dans votre vie numérique. La règle devrait être : moins, c'est mieux.

Deuxièmement, auditer régulièrement les permissions accordées aux extensions installées. Chrome permet de visualiser et de modifier ces permissions dans chrome://extensions. Une extension de prise de notes n'a aucune raison légitime d'accéder à votre historique de navigation ou de lire et modifier les données de tous les sites web. Les permissions excessives constituent un signal d'alarme.

Troisièmement, privilégier les extensions open source dont le code peut être audité par la communauté. Certes, cela ne garantit pas une sécurité absolue, mais cela offre au moins une transparence que les solutions propriétaires ne fournissent jamais. Des projets comme uBlock Origin démontrent qu'efficacité et respect de la vie privée peuvent coexister.

Quatrièmement, utiliser des outils de surveillance du trafic réseau pour détecter les comportements suspects. Les professionnels de l'informatique peuvent déployer des proxies MITM en environnement de test pour analyser le comportement des extensions avant de les autoriser dans leur organisation. Cette approche proactive, inspirée de celle de Q Continuum, peut prévenir des fuites de données à grande échelle.

Cinquièmement, envisager des alternatives aux extensions Chrome traditionnelles. Des navigateurs axés sur la confidentialité comme Brave intègrent nativement de nombreuses fonctionnalités (blocage de publicités, protection anti-pistage) sans nécessiter d'extensions tierces potentiellement malveillantes. Cette approche élimine le risque à la source.

Conclusion : reprendre le contrôle de nos données

L'affaire des 287 extensions révélée par Q Continuum n'est qu'un symptôme d'un problème plus profond : l'asymétrie informationnelle radicale entre les utilisateurs et les plateformes. Nous acceptons des conditions générales que nous ne lisons pas, installons des logiciels dont nous ne comprenons pas le fonctionnement, et faisons confiance à des entreprises dont le modèle économique repose précisément sur la violation de cette confiance.

Pour les professionnels de l'informatique, cette révélation devrait servir de rappel : la sécurité et la confidentialité ne sont pas des états binaires mais des processus continus nécessitant vigilance et remise en question. Les outils que nous déployons, les extensions que nous recommandons, les écosystèmes dans lesquels nous évoluons méritent un examen critique constant.

La question n'est plus de savoir si nos données sont collectées — elles le sont, massivement, en permanence — mais par qui, à quelles fins, et avec quelles conséquences. Dans un monde où la donnée est devenue la ressource stratégique par excellence, reprendre le contrôle de nos informations personnelles n'est pas un luxe technophile mais une nécessité démocratique.

Le combat pour la vie privée numérique ne sera pas gagné par une révélation isolée, aussi retentissante soit-elle, mais par une prise de conscience collective et une volonté politique de réguler les excès d'une industrie qui a trop longtemps opéré dans l'ombre. Les 37 millions d'utilisateurs dont les données ont été exfiltrées méritent mieux que des excuses et des promesses. Ils méritent un écosystème numérique qui respecte fondamentalement leur vie privée plutôt que de l'exploiter systématiquement.

Sources : Q Continuum (1, 2) Ex-Ray: Detection of History-Leaking Browser Extension, De-anonymizing Web Browsing Data with Social Network

Et vous ?

Êtes-vous prêt à sacrifier certaines fonctionnalités pratiques pour protéger vos données personnelles, ou considérez-vous ce type de collecte comme un « mal nécessaire » de l'écosystème gratuit ?

Google devrait-il être tenu légalement responsable des extensions malveillantes hébergées sur son Chrome Web Store, au même titre qu'Apple pour l'App Store ?

Face à ce scandale, envisagez-vous de migrer vers des navigateurs alternatifs axés sur la confidentialité (Brave, Firefox) ou estimez-vous que le problème est systémique à tous les écosystèmes d'extensions ?

Les entreprises comme Similarweb qui collectent ces données devraient-elles être classées comme « courtiers en données » et soumises à des régulations plus strictes, notamment sous le RGPD ?

Faut-il imposer un « label de confiance » obligatoire pour les extensions, avec audit de code indépendant financé par les développeurs, comme cela existe dans d'autres secteurs ?

Pensez-vous qu'une solution technique (sandboxing renforcé, permissions granulaires) puisse résoudre le problème, ou s'agit-il avant tout d'un enjeu de gouvernance et de régulation ?

Les administrateurs système devraient-ils bloquer par défaut toutes les extensions dans les environnements professionnels et n'autoriser qu'une liste blanche restreinte après audit ?

Voir aussi :

51 % des extensions de navigateur présentent un risque élevé pour les entreprises et les données stockées dans Google Workspace et Microsoft 365

Les extensions de navigateur vous espionnent, même si leurs développeurs ne le font pas, par Robert Vitonsky
Vous avez lu gratuitement 3 515 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Fagus
Membre expert https://www.developpez.com
Le 12/02/2026 à 21:26
sous firefox, on peut se créer des profils. Ainsi, on peut créer un profil noaddon (sans addon) avec
Code : Sélectionner tout
firefox -P
Ensuite, on peut lancer ce profil avec une icône bureau par
firefox -P noaddon
.
Comme ça on a une session de navigation générale avec les addons (que l'on peut configurer avec effacement du cache + cookies à la fermeture) et une session propre.
1  1