Comment vérifier si une extension Chrome est sécuritaire

Selon le site DebugBear, plus de 69,53 % des extensions Chrome ont moins de 100 utilisateurs. Comment pouvons-nous nous assurer de la sécurité de celles-ci si elles ne sont pas utilisées par une masse critique? 🤔

2 minutes de lecture
Comment vérifier si une extension Chrome est sécuritaire
Photo by Pixabay sur Pexels.
🧐
L'outil présenté dans cet article, CRXcavator, fonctionne également pour les extensions de Firefox. 😉

Le Chrome Web Store contient des milliers d'extensions pour les navigateurs basés sur Chromium, tel que Google Chrome. Bien que toutes les extensions passent à travers un processus de vérification, les risques en sécurité ne sont jamais nuls. 😞

Une organisation souhaitant n'autoriser que certaines extensions grâce à une liste d'inclusion (en anglais allowlist) peut en avoir pour plusieurs jours à vérifier manuellement chaque extension que ses utilisateurs souhaitent avoir... 😴

Heureusement, il existe un service gratuit nommé CRXcavator qui quantifie automatiquement le risque d'une extension donnée.

crxcavator

Ce service va ainsi assigner un pointage aux extensions selon différents critères, tels que :

  • les informations du développeur;
  • la date de dernière mise à jour;
  • le code JavaScript externe;
  • sa stratégie de sécurité du contenu (Content Security Policy);
  • les permissions demandées;
  • son nombre d'étoiles;
  • ou son nombre d'utilisateurs.
Capture d'écran de l'analyse de l'extension Grammarly.

L'organisation peut ainsi utiliser le pointage de chacune des extensions afin de prioriser adéquatement la vérification de celles-ci.

De plus, l'outil permet de lister rapidement quels sont les communications avec des domaines externes ainsi que de voir le code source de l'extension sans devoir installer l'extension. 🤩

CRXcavator Gatherer

Il existe également une extension Chrome nommée CRXcavator Gatherer qui permet de récolter des statistiques d'utilisation des extensions Chrome dans une organisation.

CRXcavator Gatherer
Gathers user extension data for CRXcavator

Avec ces données en main, il est possible de déterminer rapidement quelles sont les extensions qui sont les plus utilisées et lesquelles le sont moins. De cette façon, les analystes en sécurité peuvent prioriser leurs efforts en conséquence.

De plus, les extensions ayant peu d'utilisateurs internes peuvent potentiellement se faire retirer de la liste d'inclusion, réduisant de facto la surface d'attaque possible au sein de l'organisation.

Conclusion

La prochaine fois que vous souhaitez installer une nouvelle application, vous serez maintenant en mesure de vérifier rapidement si elle est sécuritaire. 😉