Adblock for YouTube : 11 millions d’installations et une grave faille à corriger !
Plus de 10 millions d’installations, un badge spécial sur le Chrome Web Store, et une fonction d’injection de code prête à être activée à distance. C’est le portrait dressé par les chercheurs d’Island au sujet d’une extension Chrome que vous utilisez peut-être : Adblock for YouTube. Bien qu’elle soit efficace pour bloquer les publicités, elle embarque aussi de quoi exécuter du JavaScript arbitraire sur n’importe quel site. Voici ce que l’on sait.
Sommaire
Une extension YouTube qui tourne sur tous les sites
L’extension visée s’appelle Adblock for YouTube (ID ). Présente sur le Chrome Web Store depuis 2014, elle revendique plus de 10 millions d’installations, 374 000 avis, une note de 4,4 sur 5 et un badge Featured. Bref, un profil rassurant qui donne envie d’installer cette extension sans réfléchir pour bloquer les publicités sur YouTube.

Toutefois, un rapport publié par les chercheurs d’Island met en évidence quelques éléments inquiétants.
Tout d’abord, pourquoi une extension censée se limiter à YouTube réclame la permission ? Autrement dit, pourquoi demande-t-elle l’accès à tous les sites visités : webmail, banque en ligne, applications SaaS, consoles d’administration, outils internes ?
Au niveau du code, il y a un semblant de garde-fou par rapport à ça pour que l’extension vérifie la présence de dans l’URL avant toute injection. Sauf que ce contrôle ne valide ni le nom d’hôte, ni l’origine de la frame : il cherche simplement la chaîne n’importe où dans l’URL. Ce n’est pas anodin, puisque cela veut dire que cette chaîne est détectée aussi dans les paramètres : passe le filtre.
Une injection de code dormante
Toutes les 24 heures, l’extension récupère sa configuration depuis un serveur distant (). La réponse contient les règles de blocage habituelles, mais aussi un champ . Par cet intermédiaire, le serveur peut désigner quels scriptlets exécuter et avec quels arguments. L’un d’eux, , permet de créer un élément dont le contenu est fourni directement par le serveur, puis exécuté dans le contexte de la page avec accès au DOM, aux sessions, aux formulaires et aux actions de l’utilisateur.
Cela veut dire que cette extension, et plus particulièrement cette capacité, pourrait être utilisée pour :
- Lire du contenu sur les pages consultées,
- Le vol de données sensibles (identifiants, contenus affichés),
- Effectuer des actions à la place de l’utilisateur, y compris sur des services authentifiés.
Surtout, ce qui est gênant, c’est le côté invisible puisque c’est piloté directement depuis le serveur : tout cela se déclenche sans mise à jour de l’extension, sans nouvelle validation du Chrome Web Store et sans le moindre signal visible pour l’utilisateur.
“La capacité est dormante, pas absente. L’activer ne demande qu’un seul changement côté serveur.”, précisent les chercheurs d’Island.
Pour valider leur découverte, l’équipe de chercheurs a monté un PoC où un script servi depuis YouTube finit par s’injecter dans une session Salesforce authentifiée et exfiltrer des données de comptes vers un serveur de test.
“Afin de valider le chemin d’exécution, nous avons mis en place une démonstration de faisabilité contrôlée à l’aide d’un serveur de simulation local. Le serveur a répondu à la requête API normale de l’extension concernant les règles, mais l’extension elle-même n’a pas été modifiée : même paquet, mêmes autorisations, même vérification d’URL, même bibliothèque de scriptlets, même logique d’injection.”, peut-on lire.

Un historique inquiétant et la réponse de l’éditeur
Selon Island, l’extension a changé de propriétaire vers 2018 et a été largement réécrite, période à partir de laquelle elle est passée de quelques centaines de milliers à plus de 10 millions d’utilisateurs. Ses anciennes versions embarquaient le SDK d’injection publicitaire Unistream, signalé par Bitdefender et retiré en juin 2024.
Surtout, l’extension est liée à plusieurs “extensions sœurs” retirées du Chrome Web Store pour cause de malware :
- Adblock for Chrome (ID ) ;
- Adblock for You (ID ) ;
- AdBlock Suite (ID ), supprimée en septembre 2023.
Après la publication du rapport, le fondateur d’AdBlock Ltd, Mathias Rochus, a contacté The Hacker News pour livrer sa version. Selon lui, l’extension n’aurait jamais utilisé cette capacité et ne l’utiliserait jamais.
Surtout, il semble décidé à corriger le tir via une mise à jour de l’extension qui devrait inclure deux changements :
- Le contrôle de page validera désormais le nom d’hôte YouTube, au lieu de chercher la chaîne n’importe où dans l’URL,
- La configuration serveur ne pourra plus créer ni injecter de script exécutable dans la page.
Mathias Rochus précise par ailleurs que les scriptlets pointés du doigt dans le rapport, dont , ne seraient pas du code écrit par son entreprise. D’après lui, ils proviennent de la bibliothèque de scriptlets open source d’AdGuard, utilisée par les bloqueurs de publicités grand public. Dans tous les cas, il est essentiel de fermer cette porte : imaginez un instant si le serveur contacté par cette extension était compromis….
Cette affaire rejoint une série de campagnes récentes documentées sur IT-Connect, des extensions Chrome populaires qui espionnent les échanges avec les IA, à la campagne GhostPoster et ses 17 extensions malveillantes, en passant par la faille ClaudeBleed dans l’extension « Claude in Chrome ». Côté défense, les entreprises peuvent reprendre la main sur ces installations en s’appuyant sur le Chrome Web Store personnalisable pour les organisations, qui permet de n’autoriser que les extensions validées par le service informatique.