Une extension populaire de blocage de publicités pour Chrome dissimule un code dangereux

Des chercheurs en sécurité d'Island ont récemment analysé en détail l'outil très populaire « Adblock for YouTube ». Bien que l'extension remplisse parfaitement sa fonction et supprime les publicités de la plateforme et des sites externes, son architecture dissimule une faille de sécurité importante. Le code permet l'exécution de scripts à distance sur n'importe quel site web visité.

Les experts soulignent qu'en pratique, cela signifie la possibilité de lire le contenu de la page, de voler des données et même de gérer des comptes personnels et professionnels au nom de l'utilisateur. À l'heure actuelle, rien ne prouve que cette vulnérabilité ait déjà été exploitée. Cependant, la simple existence d'une telle fonction, ainsi que les liens vers d'autres programmes supprimés, est suffisamment préoccupante. Le Chrome Web Store a récemment retiré des extensions associées, telles que « Adblock for Chrome », « Adblock for You » et « AdBlock Suite », en raison de la présence de code malveillant.

L'extension est disponible sur la boutique en ligne officielle depuis 2014, mais son propriétaire a changé quatre ans plus tard. Entre 2018 et juin 2024, elle intégrait le SDK Unistream pour l'« injection » de publicités, et depuis février 2025, elle inclut des mécanismes permettant de lancer des scripts externes. L'outil utilise la bibliothèque open source AdGuard avec de petites fonctions appelées « scriptlets ». Le problème réside dans le fait que le serveur détermine lesquels seront exécutés. La fonction « trusted-create-element » peut créer un élément HTML sur une page, et si le serveur lui envoie du code malveillant, celui-ci s'exécute discrètement en arrière-plan. Les chercheurs avertissent que cette fonctionnalité est actuellement inactive, mais qu'elle peut être activée par une simple modification sur le serveur du développeur, sans intervention de Google ni mise à jour de l'extension elle-même.

Un autre problème réside dans le fait que l'extension fonctionne sur tous les sites web, car le contrôle de sécurité de l'URL est superficiel. Le code vérifie uniquement la présence de la chaîne « youtube.com » dans l'adresse, ce qui signifie qu'il peut être facilement trompé avec des adresses comme bank.example.com/search?q=youtube.com ou facebook.com/page?ref=youtube.com.

Suite à la publication du rapport, Mathias Rochus, fondateur d'AdBlock Ltd., a réagi. Il a assuré que les fonctionnalités n'avaient jamais fait l'objet d'abus et n'en feraient pas l'objet, et a annoncé une mise à jour urgente. Celle-ci corrigera la validation des URL, qui exigera désormais une correspondance exacte avec l'adresse YouTube, et désactivera l'injection de scripts côté serveur. Ce correctif doit être approuvé par Google avant sa mise en ligne.