Un portefeuille en extension de navigateur est pratique : il se trouve à un clic, signe les transactions en ligne et se connecte aux dapps via un fournisseur injecté ou WalletConnect. Cette commodité a un coût. Une extension, c'est du code qui s'exécute dans votre navigateur avec la permission de voir et de modifier les pages que vous visitez — et les attaquants le savent. Si vous pratiquez l'auto-conservation, le navigateur fait partie de votre modèle de menace, et l'hygiène des extensions est l'une des habitudes les moins coûteuses et les plus rentables que vous puissiez prendre.
Ce guide explique pourquoi les extensions sont une cible si tentante, les quelques règles qui réduisent votre surface d'attaque, ce que fait LavaMoat et pourquoi l'extension de SSP est construite avec, et comment le multisig 2 sur 2 de SSP rattrape le coup même face à une extension entièrement compromise. Nouveau dans la catégorie ? Commencez par Les portefeuilles en extension de navigateur expliqués, puis revenez.
Pourquoi une extension de navigateur est une cible alléchante
Les extensions s'exécutent avec de larges permissions. Une extension de portefeuille typique peut lire et modifier le contenu des pages que vous chargez, observer ce que vous tapez et accéder au presse-papiers. Ces capacités sont exactement ce dont un portefeuille a besoin pour injecter un fournisseur et afficher une invite de signature — et exactement ce que veut un attaquant.
Voyez ce qu'une extension malveillante ou compromise peut faire sans jamais toucher à votre phrase de récupération :
- Remplacer une adresse copiée. Vous copiez une adresse de réception ; l'extension réécrit le presse-papiers de sorte que l'adresse que vous collez appartient à l'attaquant. Ce schéma de détournement du presse-papiers est ancien, fiable et invisible.
- Injecter des scripts dans une dapp. Elle peut altérer la page que vous voyez, modifiant le montant ou la destination d'une transaction tout en affichant les valeurs que vous attendiez.
- Lire ce qui est à l'écran. Soldes, adresses et tout le reste sur la page sont lisibles. Combiné à une page de phishing, ce renseignement rend l'appât bien plus convaincant — voir Attaques de phishing visant les utilisateurs de crypto.
L'économie est impitoyable : une extension populaire peut toucher des millions d'utilisateurs d'un coup, donc compromettre un seul éditeur vaut des efforts considérables. La version la plus dangereuse n'est pas une fausse extension que vous installez par erreur — c'est une extension légitime à laquelle vous faites déjà confiance et qui devient hostile après une mise à jour.
Les règles d'hygiène
Vous ne pouvez pas rendre un navigateur parfaitement sûr, mais vous pouvez en faire une mauvaise cible. Le principe est celui du moindre privilège : moins d'extensions, des permissions plus étroites et une séparation nette entre votre navigateur crypto et tout le reste.
Réduisez ce que vous installez
Chaque extension est une surface d'attaque et une dépendance de chaîne d'approvisionnement que vous n'avez pas écrite. Installez-en aussi peu que possible, préférez les projets bien connus au long historique, et supprimez tout ce que vous n'utilisez plus. Un portefeuille plus un pont vers un portefeuille matériel suffisent amplement ; une douzaine de modules de productivité partageant un navigateur avec vos fonds, non.
Utilisez un profil de navigateur dédié
Créez un profil de navigateur distinct — ou un navigateur distinct — utilisé uniquement pour la crypto, avec seulement votre extension de portefeuille installée. Le chercheur de coupons, l'outil de capture d'écran et la barre latérale « IA » aléatoire vivent dans votre profil de tous les jours, où ils ne peuvent pas lire la page pendant que vous signez une transaction. Ce seul changement élimine la majeure partie du risque quotidien pour presque aucun effort.
Examinez les permissions et les mises à jour
Quand vous installez ou mettez à jour une extension, lisez l'invite de permission au lieu de cliquer sans regarder. « Lire et modifier toutes vos données sur tous les sites web » est normal pour un portefeuille et alarmant pour une calculatrice. La mise à jour automatique est un véritable risque de chaîne d'approvisionnement : la version que vous avez vérifiée lundi n'est pas celle qui sort jeudi, et un mainteneur ou une dépendance compromis peut pousser du code malveillant directement dans votre navigateur. Vous ne pouvez pas examiner chaque mise à jour à la main, alors privilégiez les extensions dont le modèle de sécurité suppose que leurs propres dépendances pourraient mal tourner — ce qui est exactement ce que fournit LavaMoat. Pour le schéma plus large, lisez Attaques de la chaîne d'approvisionnement et builds déterministes.
Repérez les fausses extensions de portefeuille
Les boutiques regorgent d'imitations : le bon nom, un logo copié, des avis fabriqués et un éditeur dont vous n'avez jamais entendu parler. Une fausse extension de portefeuille n'a qu'un seul but : capturer votre phrase de récupération ou substituer une transaction. Avant d'installer, vérifiez que l'éditeur correspond au site officiel du projet, contrôlez le nombre d'installations et l'historique, et suivez le lien de téléchargement depuis le projet lui-même plutôt que depuis la recherche de la boutique. Les règles du programme du Chrome Web Store interdisent l'usurpation d'identité, mais l'application est en retard sur la publication — traitez la boutique comme un point de départ, pas comme une garantie. Et ne saisissez jamais votre phrase de récupération dans une fenêtre contextuelle d'extension.
Ce que fait LavaMoat (et pourquoi SSP l'utilise)
Les applications web modernes sont assemblées à partir de centaines de paquets tiers, dont n'importe lequel pourrait être compromis. LavaMoat est un ensemble d'outils open source qui durcit JavaScript contre précisément cela : il isole chaque dépendance tierce dans son propre environnement restreint et applique une politique explicite de ce à quoi chaque paquet peut accéder. Un seul paquet empoisonné ne peut plus traverser l'application pour lire vos clés, altérer une transaction ou exfiltrer des données — il est confiné à la surface étroite que sa politique autorise.
Cela compte parce que les attaques de la chaîne d'approvisionnement visent la dépendance, pas le projet en vedette. L'extension de navigateur de SSP est construite avec LavaMoat, donc même si une dépendance transitive est compromise en amont, le rayon d'impact est contenu plutôt que de céder les clés de votre portefeuille. C'est la défense en profondeur appliquée au seul risque que vous ne pouvez pas auditer personnellement : le code écrit par d'autres. Pour comprendre pourquoi cette catégorie d'attaque mérite son propre manuel, OWASP recense les risques de chaîne d'approvisionnement et d'injection dans ses recommandations sur owasp.org.
Là où le 2 sur 2 de SSP rattrape une mauvaise extension
Voici le point honnête et déterminant. Supposons que le pire se produise quand même et que votre extension de navigateur soit entièrement compromise. Elle ne peut toujours faire que la moitié du travail.
SSP est un multisig 2 sur 2. Chaque transaction a besoin de deux signatures indépendantes — une de l'extension de navigateur et une de la SSP Key sur votre téléphone, un appareil distinct avec son propre écran. Une extension compromise peut construire une transaction malveillante, mais elle ne peut pas produire la seconde signature. Quand la demande atteint votre téléphone, vous voyez la véritable destination et le montant réel sur une surface que l'extension ne contrôle pas, et vous la rejetez. L'attaquant se retrouve avec une seule signature sur une transaction qui ne sera jamais diffusée.
C'est un véritable filet de sécurité structurel, pas une formule marketing — et c'est précisément pourquoi deux surfaces d'approbation indépendantes valent mieux qu'une. Ce n'est pas non plus un permis de faire tourner un navigateur sale. La seconde clé protège le moment de la signature ; elle n'arrête pas un échange de presse-papiers que vous confirmez à la main, et elle ne défait pas les mauvaises habitudes ailleurs. Considérez-la comme votre dernière ligne de défense, pas votre seule. Pour voir où même le multisig a ses limites, lisez Modes de défaillance du multisig et comment SSP les atténue et Que se passe-t-il si l'une de vos clés est compromise.
Un audit rapide des extensions
Faites cela en cinq minutes aujourd'hui, puis une fois par trimestre :
- Ouvrez la page des extensions de votre navigateur et listez tout ce qui est installé.
- Supprimez chaque extension que vous n'avez pas utilisée au cours du dernier mois.
- Pour chaque survivante, confirmez que l'éditeur correspond au site officiel du projet.
- Vérifiez les permissions détenues par chacune, et désinstallez tout ce qui est surprivilégié par rapport à sa fonction.
- Déplacez votre portefeuille dans un profil dédié, réservé à la crypto, s'il n'y est pas déjà.
- Confirmez que votre extension de portefeuille provient de la source officielle et, le cas échéant, qu'elle est durcie avec LavaMoat.
Continuez sur votre lancée
L'hygiène du navigateur n'est qu'une couche. Associez-la à la vigilance face au phishing, à un stockage sensé de la phrase de récupération et à une compréhension claire de la façon dont les clés de votre portefeuille sont réparties. De solides habitudes plus l'architecture 2 sur 2 de SSP font qu'une seule mauvaise extension est un désagrément, pas une catastrophe — mais les habitudes doivent toujours être les vôtres.
