CRXPlorer est un outil web, d’analyse de sécurité pour les extensions de navigateur (extensions Chrome / Chromium). Son but : décompresser, analyser et audit­er des fichiers .crx (les paquets d’extensions Chrome) pour détecter des vulnérabilités, des permissions potentiellement dangereuses et des risques au niveau de la vie privée.

L’outil a été développé pour servir autant les chercheurs en sécurité, que les utilisateurs soucieux de la sécurité de leurs extensions. Il utilise des modèles d’IA (LLM) pour l’audit de code.

L’outil tient une base de données publique des extensions scannées. Cela signifie que les résultats d’analyse peuvent être partagés / consultés, ce qui peut aider à voir si une extension a déjà été “notée” comme risquée.

CRXPlorer est présenté comme “free” dans sa version de base, mais il y a aussi des mentions de “soutenez-nous” (support) sur leur site.

Point négatif : tous les rapports sont en anglais !

Petit guide d’utilisation

Allez sur crxplorer.com, entrez une extension à analyser. Vous pouvez coller une URL de l’extension depuis le Chrome Web Store. Il se peut aussi qu’on puisse uploader un fichier .crx directement (selon l’interface, mais les retours d’utilisateurs suggèrent qu’on peut “récupérer le code sans le télécharger”).

Lancez l’analyse

Une fois l’extension soumise, CRXPlorer va la “fetcher” (aller la chercher), la décompresser, et démarrer l’analyse : lecture du manifest, extraction du code, passage par l’IA pour audit.

Consultez le rapport

Après l’analyse, un rapport est fourni : vous voyez les permissions demandées, les fonctions suspectes, peut-être des “insights IA” (par exemple : “ce code semble obfusqué”, “cette permission est risquée”, etc.).

Comparez / cross-check

Vous pouvez vérifier si cette extension a déjà été analysée avant (via la base publique) pour voir si d’autres ont détecté des risques.

Décidez quoi faire

Si le rapport semble “sain”, vous pouvez décider de l’installer ou de la garder.

Si des signaux d’alarme apparaissent (permissions larges, code suspect), vous pouvez envisager de ne pas l’installer, la désinstaller, ou creuser plus (audit manuel, sandbox, etc.).

Vous pouvez aussi vous passer de Chrome et utiliser Firefox, par exemple !

Pour accéder au site, cliquez ici !

Cliquez sur les 3 points en haut à droite de la barre de recherche. Dans le menu qui s'affiche, cliquez sur Paramètres.

Cliquez à gauche sur le menu Confidentialité, recherche et services. Sur la page qui s'ouvre, scrollez jusqu'en bas de page et cliquez sur la flèche à droite de Barre d'adresse et recherche (voir flèche rouge ci-dessus).

Choisissez le moteur de votre choix et fermez l'onglet. Si la liste ne contient pas le moteur de recherche désiré, allez une seule fois sur ce moteur, effectuez une recherche et il se rajoutera automatiquement à la liste. Vous pourrez ainsi le choisir comme moteur par défaut.