Mise à jour le 2 janvier 2026
Nous utilisons tous des extensions pour bloquer les publicités, corriger notre orthographe ou gérer nos tâches quotidiennes. Ces petits modules sont devenus les couteaux suisses de notre navigation sur le Web.
Pourtant, une question cruciale se pose : en leur donnant accès à notre navigateur, leur donnons-nous les clés de notre vie numérique et aux mots de passe enregistrés ?
La réponse courte est oui. Comme le confirment régulièrement les experts en cybersécurité et les médias spécialisés, une extension malveillante peut techniquement voler vos mots de passe. Voici comment ce mécanisme fonctionne et comment vous protéger.
Le mécanisme du vol : Comment une extension « voit » vos données ?
Contrairement à une idée reçue, une extension ne va généralement pas « pirater » la base de données chiffrée de Google où sont stockés vos mots de passe. Elle utilise une méthode plus sournoise qui exploite les permissions que vous lui accordez lors de l’installation (souvent : « Lire et modifier toutes vos données sur les sites Web que vous visitez »).
1. L’attaque par le DOM (Document Object Model)
C’est la faille la plus critique. Lorsque vous visitez un site (comme Facebook ou votre banque) et que Chrome remplit automatiquement vos identifiants de connexion :
- Les données passent du stockage sécurisé vers la page Web active.
- À cet instant, le mot de passe apparaît « en clair » dans le code de la page (le DOM).
- Puisque l’extension a la permission de « Lire et modifier toutes vos données sur les sites Web« , elle peut copier ces champs et les envoyer vers un serveur tiers à votre insu.
2. Le Keylogging (Enregistrement de frappe)
Si vous n’utilisez pas le remplissage automatique, une extension malveillante peut agir comme un keylogger. Via des scripts JavaScript, elle enregistre chaque touche que vous pressez sur votre clavier lorsque vous êtes sur une page de connexion.
🚨 Quand la menace devient concrète
Comme le rapportent les analyses sur la cybersécurité, la théorie rejoint souvent la pratique de manière inquiétante. Des campagnes malveillantes sont régulièrement découvertes sur le Chrome Web Store.
Le mode opératoire révélé
L’actualité récente met en lumière des extensions (parfois téléchargées des milliers de fois) qui opèrent selon un schéma redoutable :
- L’apparence légitime : Elles se présentent comme des outils utiles (convertisseurs de fichiers, traducteurs ou bloqueurs de pub).
- Le siphonnage silencieux : Une fois installées, elles ne se contentent pas de fonctionner ; elles exfiltrent vos identifiants et vos cookies de session. Ces cookies permettent aux pirates de se connecter à vos comptes sans même avoir besoin de connaître votre mot de passe, contournant parfois la double authentification.
- Le code dormant : Pour passer les filtres de Google, le code malveillant est souvent inactif les premiers jours, ou injecté plus tard via une mise à jour automatique.
Le danger : Ces extensions peuvent rester installées des mois avant d’être détectées. Entre-temps, vos comptes Amazon, PayPal ou sur les réseaux sociaux sont vulnérables.
Chrome vs Gestionnaires de mots de passe tiers
Pour limiter les risques, faut-il abandonner le gestionnaire de mots de passe de Google ?
| Caractéristique | Gestionnaire Chrome (Intégré) | Gestionnaire Tiers (Bitwarden, 1Password…) |
| Commodité | Extrême (Remplissage auto) | Élevée (Via extension dédiée) |
| Vulnérabilité | Sensible aux attaques via le DOM (extensions) | Plus isolé, demande souvent une validation |
| Sécurité | Liée à votre compte Google | Chiffrement indépendant |
Les gestionnaires tiers offrent souvent une sécurité supérieure, car ils ne remplissent pas les champs du formulaire de connexion automatiquement sans une action de l’utilisateur (clic ou biométrie), ce qui empêche les scripts malveillants de voler les données en arrière-plan.
5 Bonnes pratiques pour sécuriser votre navigateur
Pour continuer à utiliser des extensions sans sacrifier votre sécurité, adoptez ces réflexes d’hygiène numérique :
- L’audit « Marie Kondo » appliqué à l’informatique : Tapez
chrome://extensionsdans la barre d’adresses de Google Chrome. Si une extension est superflue (ou ne sert plus), supprimez-la. Moins d’extensions = moins de portes d’entrée. - La règle du « En cas de clic » : Dans les paramètres de chaque extension, modifiez l’accès au site de « Sur tous les sites » à « En cas de clic ». L’extension ne pourra plus lire vos données en permanence, mais seulement quand vous l’activerez manuellement.
- Vigilance aux mises à jour : Si une extension simple (comme une calculatrice) demande soudainement la permission de « gérer vos téléchargements » ou de « lire vos données », désinstallez-la immédiatement.
- La Double Authentification (2FA) : C’est votre filet de sécurité ultime. Activez-la partout. Même si une extension vole votre mot de passe, le pirate bloquera sur le code SMS ou l’application d’authentification.
- Réaction immédiate : Si vous apprenez via un site tech qu’une de vos extensions est compromise, ne la supprimez pas seulement. Changez tous vos mots de passe importants et déconnectez vos sessions actives (option « Se déconnecter de tous les appareils »).
Conclusion
Les analyses techniques le confirment : le Chrome Web Store n’est pas un sanctuaire inviolable. Oui, une extension peut voler vos mots de passe en vous observant les saisir. La commodité a un prix : celui de votre vigilance.
En appliquant le principe du moindre privilège (n’installer que le strict nécessaire et limiter les accès), vous transformez votre navigateur d’une passoire potentielle en une forteresse numérique.
