La violation des extensions Chrome de décembre 2025
En décembre 2025, des chercheurs en sécurité d'OX Security ont fait une découverte troublante : deux extensions Chrome avaient silencieusement volé des conversations de chat IA à plus de 900 000 utilisateurs.
L'une de ces extensions portait le badge "Mise en avant" de Google—la supposée marque de confiance.
Comment l'attaque a fonctionné
Les extensions malveillantes ont fonctionné avec une simplicité dévastatrice :
Étape 1 : Apparence légitime
Les extensions offraient des fonctionnalités utiles—outils de productivité et améliorations de l'interface utilisateur. Elles ont accumulé des centaines de milliers d'utilisateurs et des avis positifs.
Étape 2 : Collecte de données silencieuse
Une fois installées, les extensions surveillaient l'activité du navigateur. Lorsque les utilisateurs visitaient ChatGPT, Claude ou d'autres services IA, les extensions :
- Interceptaient tous les messages de chat en temps réel
- Stockaient les données localement sur les machines des victimes
- Exfiltraient des lots de conversations vers des serveurs de commandement et de contrôle
Étape 3 : Exfiltration programmée
Pour éviter la détection, les extensions transmettaient les données volées par lots toutes les 30 minutes—suffisamment lent pour éviter de déclencher des alertes de sécurité, mais assez rapide pour capturer tout.
L'incident Urban VPN
La violation des extensions Chrome n'était pas isolée. Une enquête distincte menée par Koi Security a révélé que des extensions "VPN gratuites" avec plus de 8 millions de téléchargements avaient récolté des conversations IA depuis juillet 2025.
| Incident | Utilisateurs affectés | Découverte |
|---|---|---|
| Extensions IA malveillantes | 900 000+ | Déc 2025 |
| Extensions Urban VPN | 8 000 000+ | Nov 2025 |
| Total exposé | 8 900 000+ | — |
Quelles données ont été volées ?
Les conversations de chat IA contiennent certaines des informations les plus sensibles que les utilisateurs partagent :
- Code source collé pour débogage
- Données clients utilisées dans des requêtes de support
- Informations financières analysées par IA
- Documents juridiques résumés pour examen
- Informations médicales traitées pour des insights
- Stratégies commerciales internes discutées avec IA
Contrairement aux mots de passe (qui peuvent être changés) ou aux cartes de crédit (qui peuvent être annulées), les conversations professionnelles divulguées et le code source ne peuvent pas être dé-divulgués.
Pourquoi le badge "Mise en avant" de Google a échoué
Le badge "Mise en avant" de Google est censé indiquer la qualité et la sécurité. Les exigences incluent :
- Respect des politiques du Chrome Web Store
- Divulgations des pratiques de confidentialité
- Aucune violation de politique
Mais le processus de vérification a un défaut fondamental : il vérifie le code au moment de la soumission, pas en continu. Les attaquants soumettent un code propre, obtiennent le badge, puis publient des mises à jour malveillantes.
Le véritable problème : Traitement local uniquement
Le problème de fond n'est pas seulement les extensions malveillantes—c'est que les données sensibles atteignent les services IA.
Lorsque vous collez des informations clients dans ChatGPT :
- Elles passent par votre navigateur
- N'importe quelle extension peut les intercepter
- Elles sont stockées sur les serveurs d'OpenAI
- Elles peuvent être utilisées pour l'entraînement (selon les paramètres)
Même sans extensions malveillantes, vous faites confiance à chaque extension ayant accès à votre navigateur, ainsi qu'à la sécurité et aux politiques du fournisseur IA.
La solution : Anonymiser avant soumission
La seule façon de protéger pleinement les données sensibles est de supprimer les PII avant qu'elles ne quittent votre contrôle.
Extension Chrome anonym.legal
Notre extension Chrome fonctionne différemment des malveillantes :
| Fonctionnalité | Extensions malveillantes | anonym.legal |
|---|---|---|
| Accès aux données | Intercepte tout | Seulement lorsqu'elle est activée |
| Traitement | Envoie à des serveurs distants | Traitement local uniquement |
| Objectif | Vol de données | Protection des données |
| Open source | Non | À venir |
Comment ça fonctionne :
- Vous tapez ou collez du texte contenant des PII
- L'extension détecte les données sensibles localement
- Les PII sont remplacées par des jetons : "John Smith" → "[PERSON_1]"
- Le texte anonymisé est envoyé à l'IA
- La réponse de l'IA est dé-anonymisée pour vous
Ce qui est protégé :
- Noms, adresses e-mail, numéros de téléphone
- Numéros de cartes de crédit, comptes bancaires
- SSN, numéros de passeport, permis de conduire
- Numéros de dossiers médicaux, identifiants de patients
- Et 250+ autres types d'entités
Vérifiez vos extensions
Vérifiez immédiatement vos extensions installées :
Chrome
- Accédez à
chrome://extensions/ - Passez en revue les autorisations de chaque extension
- Vérifiez la dernière mise à jour
- Recherchez le nom de l'extension + "malware" ou "sécurité"
Signes d'alerte
- Extensions demandant des autorisations larges ("Lire et modifier toutes vos données sur tous les sites web")
- Développeurs inconnus sans autres extensions
- Extensions non mises à jour depuis des mois
- Évaluations suspectement élevées avec des avis génériques
Conclusion
La violation des 900 000 utilisateurs prouve que les extensions de navigateur sont un point aveugle de sécurité critique. Même le processus de vérification de Google peut être contourné.
L'approche la plus sûre est de supposer que chaque extension pourrait être compromise et protéger les données à la source—avant qu'elles n'atteignent jamais les services IA.
Commencez à protéger vos conversations IA :
- Installez l'extension Chrome anonym.legal (gratuite)
- Consultez le guide des autorisations d'extension
- Découvrez notre approche en matière de sécurité
Sources :