Le Chrome Web Store contient des milliers d'extensions pour les navigateurs basés sur Chromium, tel que Google Chrome. Bien que toutes les extensions passent à travers un processus de vérification, les risques en sécurité ne sont jamais nuls. 😞
Une organisation souhaitant n'autoriser que certaines extensions grâce à une liste d'inclusion (en anglais allowlist) peut en avoir pour plusieurs jours à vérifier manuellement chaque extension que ses utilisateurs souhaitent avoir... 😴
Heureusement, il existe un service gratuit nommé CRXcavator qui quantifie automatiquement le risque d'une extension donnée.
Ce service va ainsi assigner un pointage aux extensions selon différents critères, tels que :
- les informations du développeur;
- la date de dernière mise à jour;
- le code JavaScript externe;
- sa stratégie de sécurité du contenu (Content Security Policy);
- les permissions demandées;
- son nombre d'étoiles;
- ou son nombre d'utilisateurs.

L'organisation peut ainsi utiliser le pointage de chacune des extensions afin de prioriser adéquatement la vérification de celles-ci.
De plus, l'outil permet de lister rapidement quels sont les communications avec des domaines externes ainsi que de voir le code source de l'extension sans devoir installer l'extension. 🤩
CRXcavator Gatherer
Il existe également une extension Chrome nommée CRXcavator Gatherer qui permet de récolter des statistiques d'utilisation des extensions Chrome dans une organisation.
Avec ces données en main, il est possible de déterminer rapidement quelles sont les extensions qui sont les plus utilisées et lesquelles le sont moins. De cette façon, les analystes en sécurité peuvent prioriser leurs efforts en conséquence.
De plus, les extensions ayant peu d'utilisateurs internes peuvent potentiellement se faire retirer de la liste d'inclusion, réduisant de facto la surface d'attaque possible au sein de l'organisation.
Conclusion
La prochaine fois que vous souhaitez installer une nouvelle application, vous serez maintenant en mesure de vérifier rapidement si elle est sécuritaire. 😉