C'est un véritable scandale de confidentialité qui secoue l'écosystème des extensions de navigateur. La société de cybersécurité Koi a révélé qu'Urban VPN Proxy, une extension gratifiée du badge « Recommandé » par Google et téléchargée des millions de fois, se comportait en réalité comme un logiciel espion. Loin de protéger ses utilisateurs, l'outil enregistrait la totalité de leurs échanges avec une dizaine de plateformes d'intelligence artificielle, dont les plus populaires comme ChatGPT, Gemini, Claude ou encore Microsoft Copilot.
Comment un simple VPN parvenait-il à intercepter toutes vos données ?
Le mécanisme reposait sur une technique particulièrement intrusive. L'extension injectait un script malveillant directement dans les pages des plateformes d'IA ciblées. Ce dernier parvenait à détourner les fonctions natives du navigateur pour intercepter la totalité du trafic réseau, capturant ainsi chaque question posée par l'utilisateur et chaque réponse fournie par le chatbot. Les données étaient ensuite compressées et envoyées discrètement vers les serveurs d'Urban VPN.
Le plus inquiétant est que cette collecte de données fonctionnait indépendamment de la fonction VPN. Que l'utilisateur ait activé la protection ou non, le script tournait en permanence en arrière-plan. La seule façon de stopper cet espionnage était de désinstaller complètement l'extension. Selon les chercheurs, cette fonctionnalité malveillante a été ajoutée silencieusement lors d'une mise à jour en juillet 2025.
Quelle est l'ampleur de cette collecte de données et qui est concerné ?
L'enquête estime qu'entre six et huit millions de personnes sont potentiellement concernées. Toute personne ayant utilisé l'une des dix plateformes d'IA ciblées avec l'extension installée depuis cette date doit considérer que ses conversations sont compromises. Cela inclut des informations potentiellement très sensibles : des problèmes personnels, des questions médicales, des détails financiers ou encore du code propriétaire.
Le problème ne s'arrête pas à Urban VPN Proxy. Le même code espion a été retrouvé dans sept autres extensions du même éditeur, disponibles sur Chrome et Edge, comme 1ClickVPN, Urban Browser Guard et Urban Ad Blocker. La plupart de ces outils arboraient également les badges de confiance de Google et Microsoft, censés garantir un haut niveau de sécurité et une expérience utilisateur validée manuellement.
Qui se cache derrière Urban VPN et quelles sont les implications ?
Urban VPN appartient à Urban Cyber Security Inc., une société affiliée à BiScience, un courtier en données (data broker) bien connu des experts en sécurité. La politique de confidentialité de l'extension mentionne bien la collecte des échanges avec les chatbots à des « fins d'analyse marketing », une information noyée dans un document que peu d'utilisateurs consultent. Cette pratique est en contradiction directe avec la page du Chrome Web Store, qui affirme que les données ne sont « pas vendues à des tiers ».
Cette affaire soulève de sérieuses questions sur la fiabilité des processus de validation des boutiques d'extensions. Le fait qu'un logiciel espion ait pu non seulement être publié, mais aussi recevoir un badge de recommandation de Google, met en lumière des failles béantes dans la protection des utilisateurs. Au moment de la publication de l'enquête, l'extension était toujours en ligne et recommandée, exposant des millions de personnes à un risque majeur de violation de leur vie privée.
