Temps de lecture : 3 min
Points clés à retenir
- Manifest V3 plafonne le filtrage : les extensions ne peuvent plus utiliser que 30 000 règles, contre 300 000 auparavant, ce qui diminue leur efficacité.
- Impact direct sur la sécurité : des outils comme NoScript perdent leur capacité à bloquer dynamiquement les scripts malveillants, exposant les utilisateurs à des menaces comme le malware ClickFix.
- Alternatives limitées : Pi-Hole, DNS et navigateurs alternatifs (Firefox, Brave) offrent des réponses partielles, mais ne remplacent pas le filtrage natif dans Chrome.
Ce que change vraiment Manifest V3
Google, dont les revenus publicitaires dépassaient 260 milliards de dollars en 2025 (soit plus de 70 % de son chiffre d’affaires), modifie en profondeur le système d’interaction des extensions avec le navigateur. Manifest V3 remplace Manifest V2, et avec lui, la capacité des extensions à bloquer du contenu de manière dynamique disparaît. Concrètement, une extension ne peut plus appliquer plus de 30 000 règles de filtrage, alors que les bloqueurs avancés en utilisaient entre 80 000 et 300 000.
Parmi les premières victimes : uBlock Origin, AdBlock et d’autres extensions de blocage publicitaire disparaissent ou perdent leur efficacité. La version 150 de Chrome, attendue fin juin 2026, achève cette transition.
Des mini-pare-feu réduits à l’état de listes de règles
Decortiquons ça : sous Manifest V2, des extensions comme uBlock Origin agissaient comme de véritables pare-feu intégrés au navigateur. Elles pouvaient intercepter et modifier chaque requête en temps réel, exécuter des techniques anti-pistage et anti-contournement complexes. Passons au concret : sous Manifest V3, ces capacités sont drastiquement réduites. Les bloqueurs compatibles V3 (uBlock Origin Lite, AdGuard, Ghostery) bloquent certes la majorité des publicités, mais je constate nettement plus de publicités qui passent à travers.
Sur le terrain, cela signifie qu’une partie du filtrage devient inefficace, et je m’attends à ce que les annonceurs exploitent ces failles pour déployer davantage de techniques anti-contournement.
Un enjeu de sécurité majeur
Ce n’est pas qu’une question de confort face aux publicités. Ce qui compte vraiment, c’est l’impact sur la sécurité. Des outils comme NoScript, qui permettaient de bloquer dynamiquement l’exécution de scripts sur des sites compromis, perdent leur efficacité. Un exemple concret : le malware ClickFix, qui infecte des milliers de sites, affiche une fausse boîte de dialogue Cloudflare ou CAPTCHA incitant l’utilisateur à copier-coller une commande malveillante. Sans un bloqueur de scripts performant, le risque s’accroît.
Je ne suis pas le seul à tirer la sonnette d’alarme. L’Electronic Frontier Foundation (EFF) critique Manifest V3 depuis 2019. Sa conclusion est claire : les modifications n’empêcheront pas les extensions malveillantes, mais limiteront l’innovation, la flexibilité des outils de sécurité et les performances réelles.
Pi-Hole, DNS : des alternatives insuffisantes
Vous pensez peut-être qu’un outil comme Pi-Hole ou un DNS filtrant (AdGuard DNS, NextDNS, Cloudflare) peut prendre le relais ? En pratique, ces solutions bloquent des publicités et des scripts au niveau du DNS (DNS sinkholing). Mais la majeure partie du trafic web est aujourd’hui chiffrée et ne peut pas être inspectée avant d’arriver dans le navigateur. Le filtrage avancé ne peut donc se faire qu’à l’intérieur du navigateur, ce que Manifest V3 rend impossible.
Sur le terrain, cela signifie que même avec un Raspberry Pi parfaitement configuré, vous ne pourrez plus bloquer efficacement certains scripts malveillants ou publicités intrusives.
Firefox et Brave résistent, Edge suit Chrome
Si vous utilisez Firefox, bonne nouvelle : Mozilla s’est engagé à continuer de prendre en charge les extensions Manifest V2. Brave a également mis en place des solutions de contournement pour maintenir la compatibilité avec uBlock Origin, uMatrix et NoScript, en les hébergeant en arrière-plan.
À l’inverse, Microsoft Edge suit la même voie que Chrome et supprime progressivement le support de Manifest V2 au profit de Manifest V3.
En pratique : que faire ?
Ce qui compte vraiment, c’est de reprendre le contrôle sur sa navigation. Voici mes recommandations pour les décideurs et équipes techniques :
- Pour les postes individuels : passez sur Firefox ou Brave si la sécurité est une priorité.
- En entreprise : déployez des politiques de navigation sur Firefox ESR (support longue durée) pour garantir la compatibilité avec les extensions de sécurité.
- Sur les serveurs : maintenez un DNS filtrant (comme NextDNS) et couplez-le avec un proxy inverse capable d’inspecter le trafic chiffré (mitm).
- Analysez vos logs : après la mise à jour, surveillez les remontées de malwares et de publicités invasives pour ajuster votre protection.
Sans langue de bois, la transition vers Manifest V3 est une régression pour la sécurité et la liberté des utilisateurs. Mais, en tant que professionnels, nous devons nous adapter et choisir les armes les plus efficaces face à cette évolution.
Ingénieur systèmes et architecte cloud pendant 8 ans chez un leader européen de l’hébergement, reconverti dans l’analyse tech et business. Passionné par l’intersection entre infrastructure IT, IA générative et transformation digitale des entreprises. J’aide les décideurs et les équipes techniques à naviguer dans l’écosystème tech sans bullshit marketing.