Une extension Chrome malveillante a été débusquée. Recommandée par Google, elle siphonne en douce les conversations d’IA de millions d’internautes. L’extension est taillée pour les échanges sur des chatbots comme ChatGPT, Gemini ou Perplexity. Elle enfreint les règles édictées par Google pour protéger les données de ses utilisateurs.
Les experts de Koi Security pointent du doigt une nouvelle extension Google Chrome disponible sur le Chrome Web Store. Baptisée Urban VPN Proxy, l’extension était présentée comme un outil de confidentialité reposant sur un service de VPN. Recommandée par Google en personne, l’extension affichait une note de 4,7 étoiles. Forte de l’avis positif des internautes, l’extension a été installée plus de 6 millions de fois.
À lire aussi : Alerte rouge sur Google Chrome – une mystérieuse faille de sécurité est exploitée par des pirates
Des conversations avec l’IA revendues
Les chercheurs ont découvert que l’extension se permet de collecter les données des utilisateurs, en particulier les conversations avec l’IA. Quand un internaute se rend sur le site d’un chatbot, comme ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity ou encore Grok, l’extension intervient et active un code malveillant. Ce code est capable de collecter les requêtes envoyées, les réponses complètes des IA, les identifiants de conversation, les horodatages et diverses métadonnées de session. Dix plateformes d’IA sont dans le viseur des extensions.
Ironie du sort, l’extension dispose d’une fonction de « protection IA » censée avertir l’utilisateur s’il partage des données sensibles avec un chatbot. Une fois les données collectées, elles sont empaquetées et exfiltrées. Un processus en arrière‑plan compresse ces informations et les envoie vers les serveurs d’Urban VPN. Les données sont vite revendues pour de l’analyse marketing par le biais d’un partenariat avec BiScience, une société spécialisée dans le courtage de données. In fine, les informations sont monétisées sans le consentement des utilisateurs. C’est le cas de données professionnelles, d’informations personnelles, et de secrets d’entreprises. La « collecte de données fonctionne indépendamment de la fonctionnalité VPN », souligne Koi. Que « le VPN soit connecté ou non, la collecte se poursuit en continu en arrière-plan ».
A lire aussi : Ces 57 extensions Chrome peuvent espionner 6 millions de PC, désinstallez-les d’urgence
Une extension recommandée par Google…
Comme on vous le disait, l’extension était pourtant chaudement recommandée par Google. La page d’Urban VPN Proxy s’ornait en effet de la mention « À la une » de Chrome. Cette mention laisse penser qu’elle a été vérifiée par Google et qu’elle respecte des standards de qualité. Sans grande surprise, les fonctions jugées malveillantes par Koi Security n’étaient pas présentes dans les premières versions de l’extension, qui ont été validées par Google.
Selon les chercheurs de Koi, le comportement malveillant apparaît dans une mise à jour silencieuse publiée en juillet 2025. Sans en informer ses utilisateurs, l’extension a apporté des changements d’envergure. C’est une astuce massivement répandue qui permet aux développeurs de glisser des fonctions malveillantes dans une extension sans que Google ne s’en rende compte. Il y a quelques semaines, les mêmes chercheurs avaient remarqué que 145 extensions Chrome et Edge s’étaient progressivement muées en véritables outils d’espionnage. La transformation a pris plus de sept ans.
Qui enfreint les règles de Google
Urban VPN Proxy ne se cache pas de collecter les requêtes IA des utilisateurs. Sur le Chrome Web Store, l’extension se cache par contre de revendre les informations collectées à des tiers. Il s’agit pourtant d’une infraction aux règles édictées par Google. Le géant de Mountain View interdit formellement « les transferts, utilisations ou ventes de données utilisateur sont totalement interdits, y compris le transfert ou la vente de données utilisateur à des tiers tels que les plateformes publicitaires, les courtiers en données ou d’autres revendeurs d’informations ».
« Cela signifie qu’un employé de Google a examiné Urban VPN Proxy et a conclu qu’il répondait à leurs normes. Soit cet examen n’a pas porté sur le code qui collecte les conversations […] soit il l’a fait et n’a pas considéré cela comme un problème », souligne l’enquête.
Notez qu’Urban VPN Proxy n’est pas un cas isolé. En vérité, sept autres extensions provenant du même éditeur réutilisent le même code malveillant. Dans tous les cas, il s’agit de VPN gratuits, tels que 1ClickVPN Proxy, Urban Browser Guard ou Urban Ad Blocker. Toutes ces extensions récupèrent des données personnelles et les envoient sur la même infrastructure. Celles-ci sont par la suite revendues à des fins de marketing et de publicités. La plupart des extensions épinglées par Koi étaient également recommandées par Google. Au total, les extensions malicieuses ont été installées plus de huit millions de fois. En dépit des infractions recensées, les extensions sont toujours disponibles sur le Chrome Web Store.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
Koi Security