Mis à jour pour 2026
La plupart des extensions IA ne sont jamais auditées
Le Chrome Web Store héberge plus de 180 000 extensions de navigateur. Beaucoup d'entre elles — principalement des outils IA — demandent un accès large. Elles lisent chaque page que vous visitez. Elles voient votre presse-papiers. Elles peuvent bloquer ou modifier les requêtes réseau.
USENIX Security 2025 a constaté que 83 % des extensions Chrome disposant de permissions étendues n'ont jamais été auditées. Les développeurs les ont créées, publiées, et des millions d'utilisateurs les ont installées. Personne n'a vérifié si chaque outil fait uniquement ce qu'il prétend faire.
Cette lacune est structurelle. Le Chrome Web Store analyse les logiciels malveillants connus. Il vérifie les règles de politique. Il ne peut pas confirmer si la collecte de données est entièrement divulguée. Il ne peut pas détecter si les données circulent vers des tiers cachés.
La moitié des employés en entreprise utilisent des outils non approuvés
Le rapport LayerX Enterprise Browser Security 2025 a révélé que 45 % des employés d'entreprise utilisent des extensions de navigateur que leur service informatique n'a jamais approuvées. Le schéma est courant. Un employé trouve un outil utile. Il l'installe. L'informatique n'est jamais au courant.
Combinez 83 % non audités avec 45 % non approuvés. Près de la moitié des employés d'entreprise utilisent peut-être des outils dont la sécurité n'a jamais été vérifiée. Ces employés traitent chaque jour des données sensibles.
Pour les secteurs réglementés, le risque est direct. Un employé RH utilisant un outil non vérifié qui lit le presse-papiers a peut-être transmis des données personnelles à un tiers inconnu. Un avocat utilisant un outil d'écriture IA non vérifié a peut-être transmis des données confidentielles. Consultez nos conseils en matière de conformité légale pour voir comment ces risques s'appliquent au RGPD, à HIPAA et aux cadres connexes.
Ce que l'incident à 900 000 utilisateurs révèle
Un incident signalé début 2026 illustre ce mode d'échec. Des extensions Chrome malveillantes ont exposé les journaux de chat IA d'environ 900 000 utilisateurs. Environ 600 000 provenaient d'un outil, près de 300 000 d'un autre. Les deux semblaient offrir de vraies fonctionnalités IA. Les deux étaient répertoriés dans le Chrome Web Store. Les deux avaient de larges bases d'utilisateurs.
Le vol de données a été accompli en 30 minutes après l'installation. Lorsque les chercheurs ont trouvé les outils, près d'un million d'utilisateurs avaient déjà perdu le contrôle de leur historique de chat IA — y compris tout contenu sensible qu'ils avaient tapé.
L'étude 2025 d'Incogni a révélé que 67 % des extensions Chrome IA collectent des données utilisateur. Les pratiques de collecte, la divulgation et les cibles de données varient largement. Consultez notre aperçu de la sécurité et de la conformité pour voir comment les contrôles au niveau du navigateur se comparent à la confiance dans chaque outil.
Un cadre de gouvernance pour les entreprises
Bloquer toutes les extensions de navigateur n'est pas réaliste. Le coût est trop élevé. La bonne réponse est un cadre de gouvernance qui limite l'exposition aux outils vérifiés et approuvés — principalement pour l'IA.
Allowlisting d'extensions. Définissez quelles extensions sont autorisées sur les appareils d'entreprise. Exigez un audit de sécurité avant d'ajouter un nouvel outil. Utilisez la politique Chrome Enterprise pour bloquer les installations hors liste approuvée.
Examen plus strict pour les outils IA. Toute extension traitant des prompts IA fait l'objet d'un examen supplémentaire. Vérifiez le trafic réseau pour voir où vont les données. Examinez la portée complète des permissions. Vérifiez l'identité de l'éditeur.
Contrôles au niveau du navigateur. Pour les outils IA approuvés, appliquez des contrôles qui interceptent le contenu sensible avant qu'il n'atteigne les fournisseurs d'IA. Cela supprime la nécessité de faire confiance au comportement de chaque extension.
Le taux de 83 % non audités n'est pas un problème que les utilisateurs peuvent résoudre. Les utilisateurs ne peuvent pas auditer eux-mêmes les extensions Chrome. La gouvernance d'entreprise — listes approuvées, application des politiques et contrôles techniques — est la réponse fiable. Consultez notre FAQ et le glossaire des termes DLP de navigateur pour en savoir plus.
L'extension Chrome d'anonym.legal effectue le scan PII localement dans le navigateur. Aucun contenu de chat n'atteint les serveurs d'anonym.legal pendant le scan. Le prompt modifié et masqué est ce qui est envoyé au service IA.