Certaines extensions Chrome, pourtant très populaires, mettent en danger la vie privée de millions d’internautes. Des rapports récents montrent qu’elles exposent des données sensibles sans aucune protection. Dans cet article, découvrez « Extensions Chrome : données personnelles en danger » – quelles sont ces extensions à risque, comment elles vous exposent, et surtout, comment vous protéger efficacement.
Vos données personnelles en danger circulent en clair
Certaines extensions, comme SEMRush Rank, PI Rank, DualSafe, MSN New Tab ou Browsec VPN, envoient des informations personnelles sans les chiffrer. Cela signifie que ces données voyagent sur Internet comme une carte postale : lisibles par n’importe qui, sans enveloppe ni protection.
Parmi les données exposées, on retrouve :
- Les sites que vous visitez,
- Des informations sur votre ordinateur ou téléphone (modèle, système d’exploitation),
- Des statistiques d’usage (combien de temps vous passez sur tel ou tel site).
Même si ce ne sont pas vos mots de passe ou vos infos bancaires, ce sont des éléments suffisants pour reconstituer votre historique de navigation, deviner vos centres d’intérêt, votre emploi du temps, voire vous cibler avec des arnaques (phishing, publicité intrusive, etc.).
Et le pire ? Ces informations peuvent être interceptées très facilement si vous êtes connecté à un réseau Wi-Fi public (dans un café, une bibliothèque, un aéroport…).
Extensions Chrome : données personnelles en danger
D’autres extensions, comme Microsoft Editor, Equatio, Antidote Connector ou Trust Wallet, posent un autre type de problème : elles laissent des clés d’accès (appelées clés API) visibles directement dans leur code source. Ces clés permettent aux extensions de se connecter à des services en ligne : traduction, reconnaissance vocale, géolocalisation, services financiers, etc.
En les laissant traîner dans le code, ces clés peuvent être récupérées facilement par des personnes malveillantes. Elles peuvent ensuite être utilisées pour :
- Envoyer des requêtes frauduleuses,
- Saboter ou surcharger les services concernés,
- Voire détourner les fonctions de l’extension à distance.
Ce genre d’erreur, pourtant basique, est malheureusement encore trop courant, même chez de grandes entreprises ou des développeurs expérimentés.
Que pouvez-vous faire pour vous protéger ?
Voici quelques conseils simples pour éviter les mauvaises surprises :
- Faites le ménage dans vos extensions
- Supprimez celles que vous n’utilisez plus.
- Vérifiez les permissions qu’elles demandent.
- Si une extension a accès à “toutes les données sur tous les sites web”, posez-vous la question : est-ce vraiment nécessaire ?
- Désinstallez ou désactivez les extensions concernées
- Certaines ont été mises à jour pour corriger les failles (comme DualSafe ou Antidote Connector), mais pas toutes.
- Si vous avez un doute, désactivez l’extension le temps d’en savoir plus.
- Mettez vos extensions à jour régulièrement
- Les mises à jour peuvent corriger des failles de sécurité.
- Activez les mises à jour automatiques dans Chrome pour rester protégé.
Pour les développeurs : des bonnes pratiques essentielles
Si vous êtes développeur ou développeuse, voici quelques rappels cruciaux :
- Ne stockez jamais de clés API dans le code visible par l’utilisateur.
- Utilisez systématiquement le protocole HTTPS pour tous les échanges de données.
- Si une extension doit interagir avec des services sensibles, faites-le via un serveur sécurisé (backend), et non directement depuis le navigateur.
En résumé
Certaines extensions Chrome, pourtant très populaires et souvent bien notées, présentent des failles de sécurité importantes. Elles peuvent exposer vos données personnelles à des tiers malveillants, sans que vous le sachiez.
Le bon réflexe : faites régulièrement le tri dans vos extensions, privilégiez celles issues de sources fiables, et ne conservez que celles dont vous avez vraiment besoin.
Source : CLUBIC
Se protéger du smishingJuin 17, 2025
Audit de sécurité : par où commencer ?Juin 12, 2025
