Ces extensions chargent des sites inconnus dans des fenêtres invisibles pour le compte d’un service payant, a déclaré un chercheur. Qu’est-ce qui pourrait mal se passer ?
Imaginez: Vous êtes sur le site de votre banque après vous être péniblement authentifié et votre navigateur commence à pomper les pages à votre insu et les transmettre à dieu sait qui…
Les 245 extensions, disponibles pour Chrome, Firefox et Edge, ont cumulé près de 909 000 téléchargements, selon John Tuckner de SecurityAnnex . Ces extensions servent à des fins très diverses, notamment la gestion des favoris et du presse-papiers, l’augmentation du volume des haut-parleurs et la génération de nombres aléatoires. Leur point commun : elles intègrent MellowTel-js , une bibliothèque JavaScript open source qui permet aux développeurs de monétiser leurs extensions. (voir plus bas pour la liste)
Affaiblissement intentionnel des protections de navigation
Tuckner et ses détracteurs affirment que la monétisation fonctionne en utilisant les extensions de navigateur pour scraper des sites web pour le compte de clients payants, dont des annonceurs. Tuckner est arrivé à cette conclusion après avoir découvert les liens étroits entre MellowTel et Olostep , une entreprise qui se présente comme « l’API de scraping web la plus fiable et la plus rentable au monde ». Olostep affirme que son service « évite toute détection de robots et peut paralléliser jusqu’à 100 000 requêtes en quelques minutes ». Les clients payants indiquent l’emplacement des navigateurs auxquels ils souhaitent accéder pour des pages web spécifiques. Olostep utilise ensuite sa base installée d’utilisateurs d’extensions pour répondre à la requête.
« Cela ressemble beaucoup aux instructions de scraping que nous avons observées en observant la bibliothèque MellowTel en action », a écrit Tuckner après avoir analysé le code de MellowTel. « Je pense que nous avons de bonnes raisons de penser que les requêtes de scraping d’Olostep sont distribuées à toutes les extensions actives exécutant la bibliothèque MellowTel. »
Le fondateur de MellowTel a pour sa part déclaré que l’objectif de la bibliothèque est de « partager la bande passante [des utilisateurs] (sans insérer de liens d’affiliation, de publicités sans rapport avec le sujet, ni collecter de données personnelles) ». Il a ajouté que « la principale raison pour laquelle les entreprises paient pour le trafic est d’accéder aux données publiques des sites web de manière fiable et rentable ». Le fondateur a précisé que les développeurs d’extensions perçoivent 55 % des revenus, tandis que MellowTel empoche le reste.
Malgré ces assurances, Tuckner a déclaré que les extensions intégrant MellowTel présentent un risque pour les utilisateurs qui les installent. L’une des raisons est que MellowTel force les extensions à activer un websocket qui se connecte à un serveur AWS collectant la localisation, la bande passante disponible, les pulsations et le statut des utilisateurs de l’extension. Outre les atteintes à la confidentialité, le websocket injecte également une iframe cachée dans la page consultée par l’utilisateur, qui renvoie vers une liste de sites web spécifiée par le serveur Amazon Web Services. Les utilisateurs finaux n’ont aucun moyen de savoir quels sites sont ouverts dans cette iframe invisible.
Tuckner a écrit :
Ne devrait-il pas y avoir des protections pour empêcher cela ? Comment peut-on charger si facilement du contenu indésirable sur un site web ?
Normalement, des protections existent pour empêcher cela. Les en-têtes de sécurité courants des serveurs web, tels que Content-Security-Policy et X-Frame-Options, devraient empêcher ce problème. Cependant, n’oubliez pas que la bibliothèque a demandé l’ajout de declarativeNetRequest et d’accès au manifeste, si ce n’est pas déjà fait. Ces autorisations permettent de modifier les requêtes et les réponses web en cours d’exécution. La bibliothèque modifie dynamiquement les règles qui suppriment les en-têtes de sécurité des réponses du serveur web, puis les rajoutent après le chargement de la page web.
« Cet affaiblissement de la navigation web peut exposer les utilisateurs à des attaques telles que le cross-site scripting, qui seraient généralement évitées en temps normal », a poursuivi Tuckner. « Non seulement vos utilisateurs deviennent involontairement des robots, mais leur navigation web est également plus vulnérable. »
MellowTel pose également problème car les sites qu’il ouvre sont inconnus des utilisateurs finaux. Ceux-ci doivent donc faire confiance à MellowTel pour vérifier la sécurité et la fiabilité de chaque site consulté. Et, bien sûr, cette sécurité et cette fiabilité peuvent être compromises par une simple compromission d’un site. MellowTel représente également un risque pour les réseaux d’entreprise qui limitent strictement les types de code que les utilisateurs sont autorisés à exécuter et les sites qu’ils visitent.
Les tentatives pour joindre les représentants de MellowTel ont été infructueuses.
La découverte de Tuckner rappelle une analyse de 2019 qui a révélé que les extensions de navigateur installées sur 4 millions de navigateurs collectaient tous les mouvements des utilisateurs sur le Web et les partageaient avec les clients de Nacho Analytics, qui a fait faillite peu de temps après qu’Ars a révélé l’opération.
Parmi les données récupérées lors de cette collecte en masse figuraient des vidéos de surveillance hébergées sur Nest, des déclarations de revenus, des factures, des documents commerciaux et des diapositives de présentation publiés ou hébergés sur Microsoft OneDrive et Intuit.com, les numéros d’identification des véhicules récemment achetés, ainsi que les noms et adresses des acheteurs, les noms des patients et des médecins consultés, des itinéraires de voyage hébergés sur Priceline, Booking.com et les sites web des compagnies aériennes, des pièces jointes de Facebook Messenger et des photos Facebook, même lorsque ces photos étaient censées rester privées. Le coup de filet a également permis de collecter des informations confidentielles appartenant à Tesla, Blue Origin, Amgen, Merck, Pfizer, Roche et à des dizaines d’autres entreprises.
Tuckner a déclaré dans un courriel mercredi que le statut le plus récent des extensions concernées est le suivant :
Sur les 45 extensions Chrome connues, 12 sont désormais inactives. Certaines extensions ont été supprimées explicitement pour cause de malware. D’autres ont supprimé la bibliothèque.
Sur 129 extensions Edge intégrant la bibliothèque, huit sont désormais inactives.
Sur les 71 extensions Firefox concernées, deux sont désormais inactives.
Certaines extensions inactives ont été supprimées explicitement pour cause de malware. D’autres ont supprimé la bibliothèque lors de mises à jour plus récentes. La liste complète des extensions trouvées par Tuckner est disponible ici.
Source: https://arstechnica.com/security/2025/07/browser-extensions-turn-nearly-1-million-browsers-into-website-scraping-bots/
N’installez pas n’importe quoi sur votre PC, la sécurité, c’est d’abord vous et pas un programme.