Une extension Chrome « de confiance » transforme des millions d’utilisateurs d’IA en mine d’or de données

Un module VPN populaire a secrètement siphonné les conversations privées avec des chatbots IA de plus de 6 millions d’utilisateurs sans méfiance, révélant une faille béante dans la surveillance de la sécurité des navigateurs.

Lorsque vous installez une extension de navigateur « de confiance », vous vous attendez à un minimum de confidentialité. Mais pour des millions d’utilisateurs de Chrome, cette confiance a été trahie. Une extension VPN - promue par Google et totalisant plus de six millions de téléchargements - a secrètement espionné les conversations avec des chatbots IA, collectant tout, des réflexions anodines aux confessions médicales ou financières les plus intimes.

En bref

Urban VPN Proxy, une extension Chrome avec plus de 6 millions d’utilisateurs, a intercepté et exfiltré des conversations avec des chatbots IA.
Un code caché collectait les requêtes, réponses et métadonnées de ChatGPT, Claude, Gemini et Microsoft Copilot - même lorsque le VPN était désactivé.
Les données étaient envoyées vers des serveurs liés au courtier en données israélien BiScience Ltd., malgré les affirmations du Chrome Store selon lesquelles aucune donnée n’était vendue.
Au moins sept extensions apparentées - dont 1ClickVPN et Urban Ad Blocker - partagent le même code de collecte furtive.
Le badge « Sélection » de Google a donné aux utilisateurs un faux sentiment de sécurité ; l’extension reste disponible sur les boutiques Chrome et Edge.

Des chercheurs de Wings, une société d’analyse des risques liés à l’IA, ont fait cette découverte alarmante. Urban VPN Proxy - une extension très bien notée offrant des services VPN gratuits et une « protection IA » - a été prise la main dans le sac : sa mise à jour 5.5.0 (déployée en juillet 2025) a discrètement introduit un code espionnant les conversations des utilisateurs sur les principales plateformes d’IA. Les scripts de l’extension ne s’exécutent pas uniquement lorsque le VPN est actif ; ils restent en arrière-plan, s’injectant dans les pages web et contournant les fonctions du navigateur pour intercepter chaque requête et réponse que vous tapez ou recevez des chatbots.

Chaque mot, horodatage et identifiant de conversation est compressé et transmis vers des serveurs contrôlés par Urban VPN, dont analytics.urban-vpn.com. L’ampleur est stupéfiante : non seulement Urban VPN Proxy, mais au moins sept extensions sœurs du même développeur - toutes arborant le badge « Sélection » ou « De confiance » de Chrome ou Edge - utilisent des techniques similaires, affectant environ huit millions d’utilisateurs.

Qui se cache derrière tout cela ? Urban Cyber Security Inc., étroitement liée à BiScience Ltd., un courtier en données israélien connu pour monétiser les données de navigation. Leur politique de confidentialité indique clairement qu’ils collectent « les requêtes et réponses IA » à des fins d’analyse marketing, ce qui contredit directement la fiche du Chrome Store qui promet qu’aucune donnée n’est vendue à des tiers. En réalité, cette mine d’or comportementale alimente des produits commerciaux comme AdClarity et Clickstream OS, transformant vos conversations privées avec l’IA en sources de profit.

Pire encore, la prétendue fonction de « protection IA » n’est qu’un écran de fumée : l’activer ne change rien au siphonnage des données. Les experts en sécurité préviennent que toute personne ayant utilisé ces extensions après juillet 2025 doit supposer que ses conversations IA - y compris des informations sensibles ou confidentielles - ont été enregistrées et possiblement revendues.

En dépit de violations manifestes de la politique d’utilisation limitée de Google (qui interdit le partage de données utilisateurs avec des courtiers), Urban VPN Proxy reste « Sélection » et disponible au téléchargement. Il n’existe aucun moyen pour l’utilisateur de désactiver cette collecte de données. La seule solution ? Désinstaller complètement l’extension.