Les extensions de navigateur sont omniprésentes dans les usages numériques. Leur rôle va de la correction orthographique à l’intégration d’outils de productivité en passant par la gestion des mots de passe. Pourtant, une récente étude menée par LayerX met en lumière une réalité préoccupante : ces modules, souvent perçus comme anodins, constituent désormais une surface d’attaque critique dans les environnements d’entreprise, et ce, dans une quasi-absence de régulation ou de contrôle.
Une omniprésence banalisée mais peu maîtrisée
Selon les données collectées par LayerX, 99 % des utilisateurs en entreprise disposent d’au moins une extension installée sur leur navigateur. Plus de la moitié (52 %) en ont plus de dix. Malgré cette ubiquité, très peu d’organisations disposent d’une politique de contrôle ou de validation des extensions. Celles-ci échappent donc largement à toute supervision, alors même qu’elles peuvent accéder à des informations sensibles stockées ou affichées dans le navigateur.
Ces outils disposent fréquemment d’autorisations étendues. Environ 53 % des extensions installées dans les environnements professionnels disposent d’un niveau d’accès qualifié de « critique » ou « élevé », leur permettant d’accéder aux cookies, à l’historique de navigation, aux identifiants, voire aux contenus des pages consultées. Ces autorisations, parfois accordées sans lecture attentive par les utilisateurs, ouvrent la voie à des usages malveillants.
Qui sont les développeurs ? Une opacité préoccupante
Une autre source d’inquiétude réside dans l’identité même des éditeurs. Plus de 54 % des extensions sont publiées à partir de comptes Gmail, sans identification formelle. 79 % des développeurs n’ont publié qu’une seule extension, ce qui empêche toute analyse comportementale ou suivi de leur activité sur le long terme. Pire, 58 % des extensions n’ont aucune politique de confidentialité disponible, rendant impossible l’évaluation de la manière dont les données collectées sont traitées ou partagées.
Dans un contexte de conformité aux régulations européennes comme le RGPD, cette opacité est problématique. Elle rend très difficile, voire impossible, pour une entreprise d’assurer que les données de ses employés ou de ses clients ne sont pas collectées à leur insu et réutilisées à des fins tierces.
GenAI : un nouveau facteur de risque
L’essor des extensions exploitant l’intelligence artificielle générative ajoute une couche supplémentaire de complexité. Ces extensions, souvent utilisées pour des fonctions d’assistance à la rédaction ou à la recherche d’informations, sont de plus en plus adoptées dans les contextes professionnels. Plus de 20 % des utilisateurs en entreprise utilisent au moins une extension GenAI, et 45 % d’entre eux en combinent plusieurs.
Le rapport montre que ces extensions sollicitent des niveaux d’accès encore plus étendus que les extensions traditionnelles. Elles utilisent massivement les cookies, accèdent à l’identité utilisateur, injectent des scripts dans les pages visitées. Résultat : 58 % d’entre elles sont classées à haut risque. Dans un contexte où ces outils sont susceptibles de traiter des données sensibles ou confidentielles, leur usage non encadré pose un vrai défi de gouvernance.
Des API puissantes utilisées à mauvais escient
Le rapport de LayerX met en lumière une exploitation massive d’APIs critiques par certaines catégories d’extensions. Par exemple, 11 % des extensions installées en entreprise accèdent aux cookies (contre 4,8 % en moyenne sur le Web), et 7,5 % ont accès à l’identité de l’utilisateur (contre 3,5 % en général). Certaines peuvent injecter du JavaScript dans les pages, détourner des requêtes ou modifier les comportements du navigateur.
Un cas spécifique concerne les extensions de VPN, qui utilisent dans 64 % des cas l’API webRequest. Cette API permet, entre autres, de surveiller et d’intercepter les requêtes réseau, un point particulièrement sensible dans des environnements manipulant des données commerciales, juridiques ou de santé.
Le danger des extensions non officielles et du sideloading
Si la majorité des extensions sont téléchargées depuis les boutiques officielles de Chrome, Firefox ou Edge, 17 % proviennent de sources tierces. Ces dernières échappent à toute forme de validation ou d’examen, et leur présence dans les systèmes d’information d’entreprise est difficile à détecter.
Pire, 26 % des extensions sont installées via des mécanismes de « sideloading », contournant totalement les processus de contrôle. Ce mode d’installation est souvent utilisé par les attaquants pour diffuser des extensions vérolées, présentées comme des outils professionnels inoffensifs.
Des logiciels peu ou plus maintenus
Le rapport de LayerX souligne également un autre facteur de risque rarement évoqué : l’abandon progressif d’un grand nombre d’extensions. Plus de la moitié (51 %) n’ont pas été mises à jour depuis plus d’un an. Certaines n’ont plus connu d’évolution depuis plus de deux ans, ce qui signifie que des failles connues ou des erreurs de conception peuvent perdurer, sans qu’aucune action ne soit entreprise.
Certaines de ces « extensions zombies » proviennent d’éditeurs anonymes ou disparus. Elles continuent pourtant d’accéder aux systèmes des utilisateurs, parfois avec des privilèges élevés. Il devient alors possible pour des attaquants de racheter ou de compromettre le compte développeur d’une extension délaissée, et de diffuser une mise à jour malveillante qui se propagera automatiquement chez les utilisateurs.
Un enjeu de gouvernance pour les RSSI
La prolifération des extensions, la difficulté à tracer leur origine, et le niveau élevé des permissions accordées font des navigateurs modernes un maillon faible dans l’architecture de sécurité. Trop souvent, ils échappent au périmètre de contrôle des RSSI, qui concentrent leurs efforts sur les postes de travail, les serveurs ou les connexions réseau. Cette situation rend indispensable une réévaluation du modèle de menace.
Les entreprises doivent considérer les navigateurs comme des systèmes à part entière, méritant des audits réguliers, une gestion des droits affinée et une supervision continue. Certaines solutions de type « enterprise browser » ou « browser isolation » commencent à émerger pour offrir ce niveau de contrôle, mais leur adoption reste marginale.
Recommandations concrètes
Face à ce constat, LayerX propose plusieurs leviers d’action :
- Mettre en place une politique claire sur les extensions autorisées, tolérées ou interdites, accompagnée d’un suivi régulier.
- Auditer l’ensemble des extensions installées, y compris sur les navigateurs peu utilisés (Edge, Firefox), souvent oubliés dans les politiques de sécurité.
- Bloquer les extensions provenant de sources non officielles, et restreindre le sideloading.
- Former les utilisateurs à l’évaluation des risques liés aux extensions, en insistant sur la lecture des autorisations demandées et l’origine de l’éditeur.
Vers une politique de sécurité intégrant pleinement les extensions
L’étude de LayerX confirme que les extensions de navigateur représentent une surface d’attaque mal connue mais omniprésente. Le manque de contrôle, l’opacité des éditeurs, les autorisations excessives et la facilité d’installation créent un environnement vulnérable.
Alors que certaines attaques récentes ont précisément exploité des extensions compromises pour s’infiltrer dans des systèmes sensibles, un changement de posture devient urgent. Pour les entreprises, il ne s’agit plus de considérer les extensions comme de simples accessoires d’usage, mais bien comme un périmètre à part entière de leur politique de cybersécurité. Car dans un contexte de menaces persistantes, chaque module non maîtrisé peut devenir une porte d’entrée.
Source : Layer – Enterprise Browser Extension Security Report 2025
