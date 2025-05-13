Par le passé, la plupart des attaques de type « man-in-the-browser » étaient exécutées par des logiciels malveillants analysant la mémoire du navigateur pour identifier des modèles HTML spécifiques et en injectant une balise <script> directement dans le contenu en mémoire de la page. Malgré l’intention malveillante, ces scripts étaient toujours soumis aux mécanismes de sécurité du navigateur, tels que le fonctionnement dans un environnement en bac à sable, le respect de la politique de la même origine et le lien avec le cycle de vie de la page dans laquelle ils avaient été injectés.

Par exemple, les scripts injectés ne pouvaient pas accéder à des cookies ou à des ressources d’autres origines, ni persister ou s’exécuter une fois la page fermée.

En revanche, les attaques modernes utilisant des extensions de navigateur malveillantes surmontent la plupart de ces limitations. Les extensions fonctionnent indépendamment de toute page Web spécifique, ce qui leur permet de s’exécuter en permanence en arrière-plan. Ils disposent également de privilèges élevés, ce qui leur permet de contourner les restrictions liées à la même origine, d’accéder aux ressources du navigateur, telles que les cookies ou le stockage, et de rester actifs même lorsqu’aucune page n’est ouverte. Cette évolution a fait des extensions de navigateur un outil puissant pour les attaquants, offrant un niveau de persistance et de contrôle bien supérieur aux méthodes traditionnelles d’injection sur le Web.

Les extensions ont également introduit une modification du contexte d’exécution de JavaScript, qui présente ses propres avantages malveillants. Les injections Web traditionnelles s’exécutent dans le même contexte que le code de l’application Web, y compris les outils de sécurité. Toute preuve laissée de côté (comme des éléments de script, des requêtes de réseau, des variables js, etc.) pourrait rendre le logiciel malveillant détectable.

Outre le contexte de la page, il existe deux environnements JavaScript différents :

Tout d’abord, il y a le contexte du script de contenu, qui permet d’accéder au document de la page mais qui est partiellement isolé de l’environnement de la page principale. De plus, il existe un contexte de code en arrière-plan (un service worker) qui n’a pas accès au script de contenu ni à l’environnement de la page principale.

Toutes les communications entre ces contextes se font via des interfaces du navigateur définies qui ne sont pas visibles pour la page ou ses développeurs. La plupart des comportements et des preuves d’extension sont isolés par conception, et la détection est particulièrement difficile si le document principal n’est pas modifié.

En plus d’offrir une meilleure évasion, le développement d’extensions de navigateur est également simple, grâce aux nombreuses fonctionnalités et autorisations intégrées fournies par les API des navigateurs modernes. L’analyse suivante montre comment les extensions facilitent le développement d’attaques complexes.

Compte tenu du contrôle, de la persistance et des capacités d’évasion accrus et de la facilité de développement qu’offrent les extensions, le passage des techniques man-in-the-browser traditionnelles aux attaques basées sur les extensions est non seulement compréhensible, mais inévitable, compte tenu de l’évolution des menaces basées sur les navigateurs.