Adblock for YouTube : 11 millions d’installations et une grave faille à corriger
Plus de 10 millions d’installations, un badge spécial sur le Chrome Web Store, et une fonction d’injection de code prête à être activée à distance. C’est le portrait dressé par les chercheurs d’Island concernant l’extension Chrome Adblock for YouTube. Bien qu’elle soit efficace pour bloquer les publicités, elle embarque également la capacité d’exécuter du JavaScript arbitraire sur n’importe quel site.
Une extension YouTube qui tourne sur tous les sites
L’extension en question, Adblock for YouTube (ID cmedhionkhpnakcndndgjdbohmhepckk), est présente sur le Chrome Web Store depuis 2014. Elle revendique plus de 10 millions d’installations, 374 000 avis, et affiche une note de 4,4 sur 5, ce qui lui confère un profil rassurant pour les utilisateurs désireux de bloquer les publicités sur YouTube.
Cependant, un rapport publié par les chercheurs d’Island soulève des préoccupations. Pourquoi une extension censée se limiter à YouTube demande-t-elle l’accès à toutes les URL visitées, y compris celles de webmail, de banques en ligne et d’applications internes ?
Une injection de code dormante
L’extension récupère sa configuration toutes les 24 heures depuis un serveur distant (api.adblock-for-youtube.com/api/v2/rules). Cette réponse contient non seulement les règles de blocage, mais également un champ scripletsRules, permettant au serveur de désigner les scripts à exécuter. L’un d’eux, trusted-create-element, peut créer un élément dont le contenu est fourni par le serveur et exécuté dans le contexte de la page, avec accès au DOM et aux actions de l’utilisateur.
Cela signifie que cette extension pourrait potentiellement être utilisée pour :
- Lire du contenu sur les pages consultées,
- Voler des données sensibles (identifiants, contenus affichés),
- Effectuer des actions à la place de l’utilisateur sur des services authentifiés.
Le plus inquiétant est que ces actions peuvent être déclenchées sans mise à jour de l’extension ni validation par le Chrome Web Store, rendant la menace invisible pour l’utilisateur.
Un historique inquiétant et la réponse de l’éditeur
Selon Island, l’extension a changé de propriétaire en 2018 et a été largement réécrite, passant de quelques centaines de milliers d’utilisateurs à plus de 10 millions. Ses anciennes versions utilisaient le SDK d’injection publicitaire Unistream, retiré en juin 2024.
L’extension est également liée à plusieurs autres extensions retirées pour cause de malware. Après la publication du rapport, Mathias Rochus, le fondateur d’AdBlock Ltd, a affirmé que l’extension n’avait jamais utilisé cette capacité et ne l’utiliserait jamais.
Il a annoncé une mise à jour qui inclura :
- Un contrôle de page validant désormais le nom d’hôte YouTube,
- L’interdiction de créer ou d’injecter des scripts exécutables dans la page.
Cette situation met en lumière les risques associés aux extensions populaires et la nécessité de vigilance pour les utilisateurs.
Source : Island.io
