Vos échanges en ligne, y compris avec des assistants d’intelligence artificielle, pourraient ne plus être aussi confidentiels que vous le pensez. Des spécialistes de la cybersécurité tirent la sonnette d’alarme : des données personnelles issues de plateformes d’IA populaires seraient collectées puis revendues sur le marché ouvert. Cette menace émergente expose des millions d’utilisateurs à des violations de la vie privée et à des risques d’usurpation d’identité.
Beaucoup ont déjà vu passer des mèmes rappelant que les VPN « gratuits » cachent souvent un revers. Cette affaire en serait la preuve la plus frappante.
Un avertissement sans équivoque
Des chercheurs de Koi, une société de sécurité basée à Tel-Aviv, ont récemment découvert un vaste réseau de collecte de données lié à une extension très populaire du navigateur Chrome. Bien qu’utilisée par près de six millions de personnes et bénéficiant même du badge « en vedette » sur le Chrome Web Store de Google, l’extension Urban VPN Proxy collectait discrètement des informations sur ses utilisateurs.
Selon Idan Dardikman, chercheur chez Koi, cette extension va bien au-delà des fonctions classiques d’un VPN. Enfouis dans son code, des scripts dits executors sont spécifiquement conçus pour écouter et récupérer les conversations provenant des principaux services d’IA, notamment ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google), DeepSeek et Grok (xAI).
Des données sensibles revendues
D’après Dardikman, les informations collectées couvrent tous les sujets qu’un utilisateur peut aborder avec un assistant d’IA :
« questions médicales, données financières, codes propriétaires, dilemmes personnels — absolument tout, vendu à des fins d’“analyses marketing”. »
Ces révélations soulèvent de sérieuses inquiétudes quant à la confidentialité des échanges que beaucoup considèrent comme privés.
Impossible de refuser la collecte
Plus préoccupant encore, Urban VPN Proxy continue de récolter les conversations que le VPN soit activé ou non. Le script se lance automatiquement dès l’installation de l’extension. En clair, dès qu’elle est ajoutée au navigateur, toute discussion avec un chatbot devient une donnée potentiellement exploitable.
Selon Forbes,
« il n’existe aucun paramètre accessible à l’utilisateur pour désactiver cette collecte. La seule solution consiste à désinstaller complètement l’extension. »
Une revente assumée des données
L’entreprise à l’origine de l’outil, Urban Cyber Security Inc, ne dissimule pas totalement ces pratiques. Les conditions de confidentialité indiquent clairement que les données de navigation sont partagées avec sa société mère, BiScience, un courtier en données israélien. Cette entité transforme ensuite les informations brutes en analyses commerciales, revendues à divers partenaires.
Pourtant, sur sa page du Chrome Web Store, Urban VPN Proxy affirme que les données des utilisateurs ne sont pas partagées avec des tiers, sauf dans des cas autorisés, et qu’elles ne sont ni utilisées ni transférées en dehors de l’objectif principal de l’extension.
Des risques de sécurité à grande échelle
Si cette découverte choque les six millions d’utilisateurs d’Urban VPN Proxy, elle ne constitue probablement que la partie visible de l’iceberg. Forbes révèle que plus de deux millions d’utilisateurs supplémentaires seraient exposés via sept autres applications du même développeur, toutes intégrant des mécanismes similaires de collecte de données liées à l’IA. Fait troublant : presque toutes disposent, elles aussi, du label « en vedette » sur le Chrome Web Store.
Idan Dardikman est catégorique :
« Si vous avez l’une de ces extensions installées, désinstallez-la immédiatement. Considérez que toutes vos conversations avec des IA depuis juillet 2025 ont pu être capturées et partagées avec des tiers. »
La vigilance, plus que jamais nécessaire
Même si vos applications proviennent d’autres éditeurs, c’est le moment idéal pour examiner attentivement leurs politiques de confidentialité à la recherche de clauses similaires. Comme le souligne cette enquête, lorsqu’il s’agit de la protection des données personnelles, rien ne doit être tenu pour acquis.
En savoir plus sur Gnatepe
Subscribe to get the latest posts sent to your email.
