Jeudi 18 Février 2026, par Benjamin Lepeltier Egide
Au départ, tout commence avec une promesse bien anodine : un outil pour faciliter la vie des gestionnaires de pages Meta et Facebook Business. Rien de menaçant sur la fiche du Chrome Web Store. Pourtant, à y regarder de plus près, ce qui semblait être une aide s’est vite révélé être quelque chose de beaucoup plus génant.
C’est ce qu’ont découvert des chercheurs en sécurité informatique au sujet d’une extension Chrome récemment signalée. Baptisée CL Suite, cette extension promettait des fonctions utiles : extraction de données depuis Meta Business Suite ou Facebook Business Manager, suppression de certaines fenêtres de vérification et même génération de codes pour l’authentification à deux facteurs (2FA).
Mais derrière ces promesses, la réalité est tout autre. L’outil n’était pas conçu pour simplifier la vie des administrateurs de comptes, il servait à collecter des données sensibles à leur insu.
Ce qui rend cette découverte particulièrement intéressante, ou préoccupante, réside dans son mode opératoire. L’extension demandait des permissions étendues sur les domaines de Meta et Facebook, ce qui lui permettait d’interagir directement avec ces environnements lorsque l’utilisateur y naviguait. En apparence, ces accès semblaient cohérents avec les fonctionnalités annoncées. En réalité, ils ouvraient la voie à une collecte de données bien plus intrusive.
Concrètement, l’extension capturait les secrets TOTP servant à générer les codes de double authentification. Elle extrayait également les listes de contacts, les rôles et les autorisations au sein des outils de gestion business. À cela s’ajoutait une collecte plus large d’informations liées aux comptes et aux actifs numériques présents dans ces environnements professionnels.
L’ensemble de ces données était ensuite transmis vers une infrastructure externe contrôlée par l’attaquant. Autrement dit, des informations stratégiques qu’un administrateur pensait protégées pouvaient être récupérées à distance, sans signe visible pour l’utilisateur.
Bien que le nombre d’installations recensées au moment de la découverte soit resté limité, la sophistication de la démarche illustre une tendance plus large : les acteurs malveillants conçoivent désormais des outils qui semblent parfaitement légitimes, parfois même spécialisés pour un public précis, afin d’exfiltrer des données sensibles sans éveiller immédiatement les soupçons.
Pour les organisations et les professionnels qui administrent des comptes stratégiques en ligne, cette affaire constitue un rappel important. Installer une extension ne devrait jamais être un geste anodin. Chaque module ajouté au navigateur devient un composant logiciel disposant d’un niveau d’accès parfois étendu à des données sensibles.
Cela implique de vérifier attentivement la légitimité d’une extension avant son installation, en particulier lorsque celle-ci demande des permissions larges. Il est également essentiel d’auditer régulièrement les extensions déjà présentes dans l’environnement de travail, notamment celles qui ne sont plus utilisées. Enfin, des pratiques comme la rotation régulière des secrets d’authentification et la surveillance d’activités inhabituelles restent des mesures fondamentales pour limiter l’impact potentiel de ce type de menace.
Au fond, cette histoire rappelle qu’une extension de navigateur n’est jamais un simple outil pratique. Elle constitue un maillon de la chaîne de confiance numérique. Et lorsqu’un maillon est compromis, c’est l’ensemble de l’écosystème qui peut vaciller.
Dans l’incident que nous avons décrit, tout repose sur une réalité simple : le navigateur avait accès aux éléments les plus sensibles. Une extension a donc pu les lire, les copier et les transmettre.
Mais imaginons un environnement différent. Un environnement protégé par Egide.
Dès le départ, les comptes à privilèges ne seraient pas utilisés depuis un environnement standard. Ils seraient isolés dans un cadre dédié, cloisonné des usages quotidiens. Cette séparation réduit mécaniquement la surface d’exposition : une extension installée pour un besoin ponctuel ne se retrouverait pas au contact direct des accès les plus sensibles.
Ensuite, les secrets d’authentification ne résideraient plus dans le navigateur ou dans une application logicielle du poste. Ils seraient générés et stockés dans notre coffre-fort de mot de passe intégré. Le secret TOTP ne serait jamais accessible, exportable ou lisible par un module logiciel, car rappelons que c’est une très mauvaise pratique d’enregistrer son TOTP sur le poste. Même avec des permissions étendues, l’extension n’aurait tout simplement rien à capturer.
Mais la protection ne s’arrête pas au stockage des secrets.
L’architecture d’Egide permet également de contrôler les flux entrants et sortants. Les communications vers des infrastructures inconnues ou non autorisées peuvent être restreintes, filtrées ou bloquées. Dans le cas présent, l’exfiltration silencieuse des données vers un serveur externe aurait pu être détectée ou empêchée. Ce qui, dans un environnement classique, passe inaperçu devient ici un événement observable.
Ce double mécanisme, isolation des comptes à privilèges et contrôle des flux réseau, change profondément la dynamique de l’attaque.
Dans le scénario étudié, cela aurait changé l’issue. Pas en ajoutant une alerte supplémentaire. Mais en rendant la compromission structurellement impossible.
Ce type d’incident rappelle une chose essentielle : La sécurité, c’est un ensemble de couches de protection et pas simplement un périmètre.
En déplaçant la protection des secrets vers un boîtier physique dédié, en isolant les comptes sensibles et en contrôlant les flux réseau, Egide transforme un poste utilisateur vulnérable en environnement maîtrisé.
