Une nouvelle enquête a révélé que des dizaines d’extensions de navigateur largement utilisées collectent et vendent des données utilisateurs à des tiers, souvent avec un consentement légal complet caché dans leurs politiques de confidentialité.
L’étude, menée par LayerX Security , a identifié plus de 80 extensions de navigateur touchant au moins 6,5 millions d’utilisateurs qui monétisent ouvertement leurs données personnelles.
Contrairement aux extensions malveillantes traditionnelles qui exfiltrent secrètement l’information, beaucoup des outils signalés opèrent dans des limites légales. Les développeurs divulguent explicitement les pratiques de collecte et de revente des données dans leurs politiques de confidentialité, rendant l’activité autorisée selon la réglementation actuelle.
Les chercheurs ont constaté que ce problème est répandu dans différentes catégories d’extensions, notamment les bloqueurs de publicités, les outils médias et les modules complémentaires de productivité. Dans un cas, un groupe d’extensions de blocage de publicités avec une base d’utilisateurs combinée de plus de 5,5 millions a été trouvé en train de collecter et vendre des données de navigation.
Les données collectées varient mais peuvent inclure l’activité de navigation, les habitudes de streaming, les informations démographiques et des attributs personnels déduits tels que l’âge et le genre. Certaines extensions ont également été reconnues pour suivre l’activité sur des plateformes comme Netflix, Amazon Prime Video et d’autres grands services.
Un facteur clé permettant ces pratiques est le consentement des utilisateurs, même s’il est rarement informé. Selon LayerX, de nombreux utilisateurs acceptent les permissions et les conditions de confidentialité sans les examiner, ce qui permet aux extensions de collecter et de vendre légalement leurs données.
Parallèlement, la recherche met en lumière des lacunes plus larges en matière de transparence dans l’écosystème des extensions de navigateur. Environ 71 % des extensions dans le Chrome Web Store ne publient pas du tout de politique de confidentialité, ce qui rend difficile pour les utilisateurs de comprendre comment leurs données sont traitées.
Les experts en sécurité notent que les extensions de navigateur ont un accès étendu aux informations sensibles, y compris l’historique de navigation et le contenu des pages, ce qui augmente l’impact potentiel de la collecte de données légale et malveillante.
Les résultats indiquent un modèle de risque double. D’un côté, il y a des extensions explicitement conformes qui monétisent les données des utilisateurs par des pratiques divulguées. De l’autre, les extensions malveillantes ou compromises qui exploitent des privilèges d’accès similaires sans divulgation.
À mesure que les outils basés sur navigateur continuent de s’étendre, les chercheurs avertissent que l’écosystème d’extension reste un canal largement non réglementé pour la collecte de données à grande échelle. La combinaison de permissions larges, de supervision limitée et de faible connaissance des utilisateurs crée des conditions où les données personnelles peuvent être monétisées à grande échelle, souvent sans transparence significative.