L'incident de janvier 2026
Deux extensions Chrome découvertes en janvier 2026 — "Chat GPT for Chrome with GPT-5, Claude Sonnet and DeepSeek AI" (plus de 600 000 utilisateurs) et "AI Sidebar with Deepseek, ChatGPT, Claude and more" (plus de 300 000 utilisateurs) — ont été trouvées en train d'exfiltrer des historiques de conversations AI complets toutes les 30 minutes vers un serveur de commande et de contrôle distant.
Les extensions se présentaient comme des outils de confidentialité et d'amélioration de l'IA. Leurs descriptions sur le Chrome Web Store mettaient l'accent sur la protection des données des utilisateurs et un design axé sur la confidentialité. Leur comportement réel — confirmé par l'analyse d'Astrix Security — était de capturer des historiques de conversation complets de ChatGPT, DeepSeek et d'autres plateformes AI, puis de les transmettre à un serveur contrôlé par un attaquant. Les conversations capturées comprenaient du code source, des informations personnellement identifiables, des discussions sur des stratégies juridiques, des plans d'affaires et des données financières.
Les extensions demandaient la permission de "collecter des données analytiques anonymes et non identifiables." Elles collectaient en réalité des données complètement identifiables et hautement sensibles avec une fidélité maximale.
Le problème de l'inversion de sécurité
Les utilisateurs qui installent spécifiquement des extensions de confidentialité AI expriment une préférence pour des outils qui protègent leurs conversations AI. L'incident de janvier 2026 a documenté le pire résultat de cette préférence : l'outil installé à des fins de confidentialité est lui-même le mécanisme d'exfiltration de données.
Ce n'est pas simplement un risque à évaluer — c'est un résultat documenté affectant simultanément 900 000 utilisateurs. Le scan automatisé du Chrome Web Store n'a pas détecté le comportement malveillant car la collecte de données des extensions était déguisée en analytique. Les avis des utilisateurs n'ont pas révélé le problème car les utilisateurs n'avaient aucune visibilité sur le trafic réseau.
La recherche d'Incogni a révélé que 67% des extensions Chrome AI collectent activement des données utilisateur — un chiffre qui inclut à la fois la collecte d'analytique divulguée et l'exfiltration non divulguée. La question significative pour les équipes informatiques des entreprises déployant des extensions de confidentialité AI n'est pas "cette extension collecte-t-elle des données ?" mais "puis-je vérifier que le flux de données de cette extension est architecturément incapable d'exfiltrer le contenu des conversations ?"
Le test de vérification de l'architecture
Le test de vérification pour un traitement local de confiance est technique, pas déclaratif : le traitement local revendiqué par l'extension peut-il être vérifié de manière indépendante par la surveillance du réseau ?
Une extension qui traite la détection des PII localement — exécutant le modèle de détection côté client en utilisant TensorFlow.js, WASM ou un binaire local — produit zéro trafic réseau sortant pendant la phase de détection des PII. La surveillance du réseau sur le poste de travail de l'utilisateur ne devrait montrer aucune connexion à un serveur externe entre l'événement de collage de l'utilisateur et la soumission à la plateforme AI. Le seul trafic sortant devrait être l'invite anonymisée allant au fournisseur AI.
Une extension qui achemine le trafic via un serveur proxy — même si le proxy est décrit comme un "relais préservant la confidentialité" — envoie le contenu de l'utilisateur à un serveur tiers. La sécurité de l'opérateur du proxy fait maintenant partie du modèle de menace de l'utilisateur.
Pour les équipes informatiques des entreprises ajoutant des extensions de navigateur à la liste approuvée par l'entreprise, le protocole de vérification est : déployer l'extension dans un environnement réseau surveillé, générer un trafic de test représentatif, et vérifier qu'aucune connexion sortante vers les serveurs de l'éditeur de l'extension ne se produit pendant le traitement des PII. Les extensions qui ne peuvent pas passer ce test ne devraient pas être approuvées pour un déploiement en entreprise, quelles que soient leurs déclarations de confidentialité.
L'architecture de traitement local — où toute détection s'exécute côté client sans composant côté serveur pour l'étape d'anonymisation — est la propriété architecturale qui rend les revendications de confidentialité de l'extension vérifiables de manière indépendante, plutôt que de nécessiter une confiance dans les affirmations de l'éditeur.
Sources :