Détection d’add-ons Firefox malveillants sous Windows
Détection d’add-ons Firefox malveillants sous Windows
Introduction
Firefox, navigateur open-source apprécié pour sa flexibilité, peut devenir vulnérable lorsqu’il exécute des extensions malveillantes. Ces add-ons peuvent exfiltrer des données, injecter du code ou contourner des politiques de sécurité. Le piratage via extensions survient souvent par des installations manuelles, des mises à jour compromises ou des permissions excessives. Ce guide montre comment détecter et neutraliser ces modules sur Windows 11.
Prérequis
• Windows 11 avec Firefox installé
• Accès au répertoire %APPDATA%\Mozilla\Firefox\Profiles
• Connaissances sur les fichiers extensions.json, addons.sqlite, prefs.js
• Utilisation de PowerShell ou SQLite Browser
• Compréhension des permissions d’extension (webRequest, storage, tabs)
Table des matières
• Étape #1 : Lister les extensions Firefox installées
• Étape #2 : Vérifier l’origine et l’état des add-ons
• Étape #3 : Inspecter les permissions accordées
• Étape #4 : Supprimer les modules suspects
📈 Niveau de difficulté
• Étape #1 : 🧠 Intermédiaire
• Étape #2 : 🛠️ Avancé
• Étape #3 : 🛠️ Avancé
• Étape #4 : 🔐 Expert
• Étape #5 : 🔐 Expert
Avantages
• Étape #1 : ✅ Visibilité immédiate sur les add-ons présents
• Étape #2 : ✅ Identification de modules inactifs ou frauduleux
• Étape #3 : ✅ Analyse des capacités potentiellement dangereuses
• Étape #4 : ✅ Nettoyage rapide et ciblé
• Étape #5 : ✅ Politique préventive renforcée
Inconvénients
• Étape #1 : 🚩 Traitement profil par profil
• Étape #2 : 🚩 Certains add-ons déguisés comme sûrs
• Étape #3 : 🚩 Permissions parfois obscures
• Étape #4 : 🚩 Risques de suppression non réversible
• Étape #5 : 🚩 Nécessite Firefox ESR + GPO dans les environnements gérés
Procédure
⚙️ Étape #1 (Lister les extensions Firefox installées)
1️⃣ Accéder au répertoire de profil :
2️⃣ Ouvrir extensions.json avec un éditeur JSONcd "$env:APPDATA\Mozilla\Firefox\Profiles"
3️⃣ Extraire les noms, ID et version de chaque module
Étape #2 (Vérifier l’origine et l’état des add-ons)
1️⃣ Contrôler les champs "signedState" et "updateURL"
2️⃣ Valider les signatures via
3️⃣ Comparer les versions avec le Mozilla Add-ons Storecertutil -dump "Nom_du_fichier.xpi"
Étape #3 (Inspecter les permissions accordées)
1️⃣ Rechercher les add-ons avec accès à :
• "host_permissions" sur :///
• "webRequestBlocking"
• "clipboardRead", "management", "proxy"
2️⃣ Prioriser les suppressions sur modules à large portée
Étape #4 (Supprimer les modules suspects)
1️⃣ Supprimer manuellement les dossiers extensions/[ID].xpi
2️⃣ Nettoyer les références dans extensions.json et prefs.js
3️⃣ Reconfigurer les profils utilisateurs
Étape #5 (Imposer des restrictions d’installation)
1️⃣ Installer Firefox ESR avec GPO support
2️⃣ Configurer la stratégie ExtensionSettings via
3️⃣ Exemple de restriction :about:policies
{"": { "installation_mode": "blocked" }, "uBlock0@raymondhill.net": { "installation_mode": "allowed" }}
Astuce
• Le fichier addons.sqlite peut être exploré via SQLite Browser pour voir l’historique d’installation et les dates
🚨 Mise en garde
• Certaines extensions se réinstallent via synchronisation Firefox : désactiver
about:preferences#sync
Conseil
• Centralisez les modules approuvés et maintenez un inventaire à jour validé par la sécurité informatique.
🔗 Liens utiles
https://support.mozilla.org/fr/topic...curity/firefox
https://addons.mozilla.org/fr/firefox/
https://www.mozilla.org/en-US/firefox/enterprise/
https://www.google.fr/search?q=firef...nsions+windows
Conclusion
Les extensions malveillantes dans Firefox constituent une menace souvent négligée. L’analyse des profils, la vérification des permissions, et la gestion centralisée permettent de bloquer efficacement ces vecteurs d’intrusion dans un environnement Windows professionnel.
Répondre avec citation
Partager