Adblock for YouTube : 10 millions d’utilisateurs exposés à une faille d’injection de code

Laisser un commentaire / Par /

Une extension installée par 10 millions de personnes sur Chrome cachait une faille d’injection de script critique. L’extension Adblock for YouTube permettait, sans que personne ne le sache, d’exécuter du code JavaScript sur n’importe quel site visité. Pas seulement YouTube. N’importe quel site. Y compris votre banque.

Voici pourquoi ça vous concerne directement.

L’extension Adblock for YouTube : qu’est-ce qui se cachait dedans ?

Une extension de navigateur, c’est un petit programme installé dans votre Chrome ou Firefox. En principe, elle accède uniquement à un domaine précis. En pratique, c’est plus compliqué. Ainsi, certaines extensions disposent de permissions bien plus larges que nécessaire.

L’extension Adblock for YouTube (identifiant Chrome : cmedhionkhpnakcndndgjdbohmhepckk) intégrait un mécanisme d’injection de code JavaScript. Autrement dit, elle pouvait exécuter des scripts sur les pages que vous visitiez. En effet, le problème était architectural. Par conséquent, la protection censée limiter l’extension à YouTube ne fonctionnait pas réellement.

En effet, le filtre vérifiait uniquement si la chaîne « youtube.com » apparaissait quelque part dans l’URL. Pas que l’URL était YouTube. Ainsi, une URL comme mabanque.fr/recherche?q=youtube.com passait le filtre sans problème. Porte grande ouverte.

Ce qu’un attaquant aurait pu faire avec cette faille

Ce n’est pas une vulnérabilité théorique. C’est une porte d’entrée opérationnelle. En effet, avec ce mécanisme actif, l’extension disposait de la capacité technique de :

  • Lire toutes les pages visitées, y compris les mails et les services bancaires
  • Aspirer des identifiants, mots de passe et numéros de carte saisis dans un formulaire
  • Agir à la place de l’utilisateur : envoyer des virements, modifier des mots de passe, accéder à des panneaux d’administration
  • Piloter l’injection à distance via un serveur, sans mise à jour visible de l’extension

Par conséquent, ni vous ni votre antivirus n’auriez rien vu. L’extension était déjà là, déjà autorisée, déjà de confiance. C’est brutal.

Qui est derrière cette extension suspecte ?

L’éditeur de l’extension n’est pas inconnu des chercheurs en sécurité. En effet, cette même extension avait déjà intégré par le passé un SDK d’injection de publicité appelé Unistream. De plus, d’autres extensions du même écosystème ont reçu un bannissement du Chrome Web Store pour activités malveillantes.

Pourtant, Adblock for YouTube restait disponible. 10 millions d’installations. Des avis positifs. Une apparence légitime. C’est précisément ce profil qui rend ce type de menace aussi efficace. Ainsi, la faille a reçu une divulgation publique le 26 juin 2026 par des chercheurs indépendants. L’analyse complète est disponible ici (Korben).

Pourquoi cette affaire est un signal d’alarme pour tous les utilisateurs

Vous faites confiance au Chrome Web Store. C’est normal. Google y applique des contrôles. Néanmoins, ces contrôles ne sont pas infaillibles. En effet, un éditeur peut publier une extension propre, puis la mettre à jour avec du code malveillant. Ou intégrer, dès le début, une architecture qui rend l’exploitation possible sans déclencher d’alerte.

Autrement dit, le problème ne concerne pas uniquement cette extension. C’est le modèle entier. Des millions d’extensions existent. Beaucoup disposent de permissions larges. Par conséquent, votre navigateur représente une surface d’attaque que vous avez vous-même enrichie au fil des années. C’est pourquoi l’audit régulier de vos extensions est indispensable.

Comment se protéger contre l’injection de script via extension

Les gestes sont simples. Ils ne demandent pas de compétences techniques. Juste quelques minutes de votre temps.

  1. Désinstallez l’extension immédiatement si elle est présente sur votre navigateur. Allez dans chrome://extensions et cherchez l’identifiant cmedhionkhpnakcndndgjdbohmhepckk.
  2. Auditez toutes vos extensions installées. Supprimez celles que vous n’utilisez plus. En effet, moins il y en a, mieux c’est.
  3. Vérifiez les permissions demandées par chaque extension. Ainsi, si une extension de recettes de cuisine réclame un accès à « tous les sites », c’est suspect.
  4. Préférez les extensions open source avec un dépôt GitHub public. De cette façon, le code reste lisible et les problèmes font l’objet de signalements publics.
  5. Mettez à jour votre navigateur régulièrement. En effet, certaines protections contre l’injection de script font partie des dernières versions.

La sécurité numérique, ce n’est pas réservé aux experts. C’est une série de petits réflexes que chacun peut adopter aujourd’hui. C’est ainsi que l’on construit une vraie culture de la protection en ligne.

Et demain ? Les extensions de navigateur, la prochaine frontière des cyberattaques

Cette affaire ne va pas s’arrêter là. En effet, les extensions de navigateur représentent un vecteur d’attaque privilégié : elles sont invisibles, elles bénéficient de confiance par défaut, et peu d’utilisateurs les surveillent. Par conséquent, attendez-vous à voir d’autres cas similaires dans les mois qui viennent. Le marché des extensions malveillantes existe. Il est lucratif. Et il cible directement votre quotidien numérique.

La vraie question n’est dès lors pas « cette extension est-elle dangereuse ». C’est plutôt : « combien d’extensions sur votre navigateur pourraient l’être aussi » ? Ainsi, chaque extension installée représente un risque potentiel. Néanmoins, avec les bons réflexes, ce risque reste maîtrisable.

Pour aller plus loin sur la sécurité des navigateurs et les arnaques numériques, lisez aussi : Arnaque GTA 6 Early Access : comment des escrocs volent 250€ en cryptomonnaie aux gamers.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut