Les chercheurs en sécurité ont découvert que plusieurs extensions de navigateur largement utilisées, commercialisées comme des VPN ou des outils de confidentialité, interceptaient et vendaient les conversations des utilisateurs via des plateformes de chat d’intelligence artificielle sans consentement clair. Ce comportement a été découvert dans plusieurs extensions, dont une avec plus de six millions d’installations et Chrome des utilisateurs supplémentaires sur Microsoft Edge. L’analyse du code a montré que ces extensions incluaient des scripts conçus pour capturer le texte saisi dans les services d’IA ainsi que les réponses renvoyées par ces services.
Les extensions visaient au moins dix grands fournisseurs d’IA. Cela incluait ChatGPT, Claude, Google Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok de xAI et Meta AI. Les chercheurs ont rapporté que les données collectées dans les discussions étaient transmises vers des serveurs contrôlés par les développeurs de l’extension et auraient pu être vendues à des courtiers tiers en données.
Les enquêteurs ont indiqué que la collecte de données était intégrée par défaut dans le code des extensions et ne pouvait pas être désactivée par les utilisateurs. Cette fonctionnalité a été introduite lors d’une mise à jour en juillet 2025. Les utilisateurs ayant installé ou mis à jour les extensions après ce moment auraient vu leur texte de chat IA capturé et téléchargé automatiquement.
Le comportement a été détecté dans plusieurs extensions partageant un code de surveillance sous-jacent commun, toutes publiées par le même groupe de développeurs. Ensemble, les extensions concernées ont été installées par environ huit millions d’utilisateurs à travers Chrome Edge. Certaines extensions concernées portaient des badges « Featured » sur les places de marché d’extensions, qui indiquent normalement la conformité aux normes de qualité et de sécurité de la plateforme.
Les extensions en question étaient présentées aux utilisateurs comme des outils pour renforcer la vie privée ou fournir des services VPN destinés à masquer le trafic internet. En réalité, les scripts injectés par le logiciel collectaient des données sensibles lors de l’interaction des utilisateurs avec des chatbots IA. Les scripts s’activaient chaque fois qu’une plateforme prise en charge était accédée, capturant à la fois les invites saisies par les utilisateurs et les réponses générées par les modèles d’IA.
Les chercheurs en sécurité ont noté que cette découverte soulève des questions sur l’efficacité des processus de révision des extensions de navigateur sur les principaux magasins d’extensions. Les extensions ayant été examinées et obtenues des badges de qualité se sont encore révélées contenir une fonctionnalité d’exfiltration de données cachée.
Les experts conseillant les utilisateurs sur la confidentialité numérique recommandaient de désinstaller rapidement les extensions non vérifiées ou peu connues et de traiter avec prudence toute information sensible saisie dans les plateformes de chat IA si ces extensions étaient installées. Les utilisateurs étaient également encouragés à auditer régulièrement les extensions du navigateur et à supprimer celles qui demandaient des permissions étendues sans rapport avec leur fonction déclarée.
L’incident a contribué à un examen plus large des extensions de navigateur qui prétendent protéger la vie privée mais qui, en pratique, collectent et transmettent les données utilisateurs. D’autres recherches ont déjà identifié des extensions qui réalisent des captures d’écran de l’activité de navigation des utilisateurs ou recueillent d’autres informations sensibles.
Cette affaire souligne également les préoccupations croissantes concernant la confidentialité des interactions par chat par IA. Les conversations avec des services d’IA contiennent souvent des informations personnelles, professionnelles ou uniques que les utilisateurs n’ont pas l’intention de partager en dehors de la session. Lorsque ces données sont capturées et monétisées par des tiers, les implications pour la confiance des utilisateurs, tant dans les outils d’IA que dans les extensions de navigateur, sont significatives.
Les développeurs de navigateurs et les responsables de la plateforme ont été invités à améliorer la vérification des extensions et à fournir des avertissements plus clairs lorsque les extensions demandent l’accès à des flux de données sensibles. Tant que ces mesures ne sont pas mises en œuvre, les utilisateurs restent responsables d’évaluer soigneusement la fiabilité et la réputation des extensions avant leur installation.