Le piège s'est refermé sur près d'un million d'utilisateurs : deux extensions disponibles sur le Chrome Web Store, "Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI" et "AI Sidebar with Deepseek, ChatGPT, Claude, and more.", sont en réalité des logiciels malveillants sophistiqués.
En usurpant l'identité d'un outil populaire nommé AITOPIA, elles ont réussi à gagner la confiance des utilisateurs, dont l'une a même obtenu le badge "Featured" de Google, un gage de légitimité trompeur.
Comment fonctionne ce vol de données à grande échelle ?
Une fois installées, les extensions demandent une permission pour collecter des "données analytiques anonymes". En réalité, ce consentement ouvre la porte à un pillage en règle. Le malware analyse en temps réel les pages web des plateformes d'IA et capture l'intégralité des conversations, des prompts des utilisateurs aux réponses générées.
Ces données sont ensuite stockées localement avant d'être envoyées toutes les 30 minutes vers des serveurs contrôlés par les attaquants, comme `deepaichats[.]com`. En plus de ce siphonnage, les logiciels espions enregistrent également les URL de tous les onglets ouverts, exposant potentiellement des identifiants de session et un historique de navigation complet.
Quelles sont les techniques des attaquants pour rester cachés ?
Pour dissimuler leurs activités, les cybercriminels ont fait preuve d'ingéniosité. Ils ont utilisé une plateforme de développement web, Lovable, pour héberger de fausses politiques de confidentialité et ainsi brouiller les pistes. L'usurpation d'une application légitime et l'obtention du badge "Featured" de Google ont été des leviers cruciaux pour maximiser le nombre d'installations de leur version piégée de ChatGPT.
Un mécanisme de persistance a même été mis en place : si un utilisateur désinstalle l'une des extensions, une nouvelle page s'ouvre automatiquement pour proposer l'installation de la seconde, assurant ainsi une présence continue sur le système de la victime. Cette stratégie coordonnée démontre une planification minutieuse de la part des attaquants.
Quels sont les risques réels pour les utilisateurs et les entreprises ?
Les conséquences de ce vol de données sont graves. Les conversations avec des IA comme DeepSeek contiennent souvent des informations extrêmement sensibles : du code source propriétaire, des stratégies commerciales, des données personnelles ou des communications confidentielles. Une fois exfiltrées, ces informations peuvent alimenter des actes d'espionnage industriel, des vols d'identité ou des campagnes de hameçonnage ciblé.
Ce phénomène, baptisé "Prompt Poaching" par les experts, marque une nouvelle tendance où les extensions de navigateur deviennent le vecteur d'attaque principal pour voler les interactions avec les IA. Pour les entreprises dont les employés ont installé ces outils, c'est une menace directe pour leur propriété intellectuelle et la sécurité des données de leurs clients.
Foire Aux Questions (FAQ)
Quelles sont les extensions malveillantes identifiées ?
Les deux extensions concernées sont "Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI" (600 000 utilisateurs) et "AI Sidebar with Deepseek, ChatGPT, Claude, and more." (300 000 utilisateurs). Elles usurpent l'identité de l'outil légitime "AITOPIA".
Comment puis-je me protéger et vérifier si je suis infecté ?
Il est impératif de vous rendre dans les paramètres de votre navigateur Chrome à l'adresse `chrome://extensions/`. Cherchez les noms des extensions mentionnées ci-dessus et supprimez-les immédiatement. Soyez toujours vigilant avant d'installer une nouvelle extension, même si elle est mise en avant par le Chrome Web Store.
Ce type de menace est-il nouveau ?
Oui, il s'agit d'une tendance émergente appelée "Prompt Poaching". Elle consiste à utiliser des extensions de navigateur pour intercepter et voler les conversations que les utilisateurs ont avec les intelligences artificielles. C'est un vecteur d'attaque de plus en plus exploité par les cybercriminels.
