L'outil de confidentialité qui vole vos données
En décembre 2025, des outils Chrome commercialisés comme protecteurs de la vie privée pour l'IA ont été surpris à espionner. Ils capturaient des historiques de conversation complets. Ils envoyaient ces contenus vers des serveurs contrôlés par des attaquants.
C'est le paradoxe central : l'outil de confidentialité est devenu la menace.
Caviard.ai a constaté que 67 % des add-ons Chrome pour l'IA collectent des données utilisateur. Certains le divulguent. D'autres non. Mais la divulgation n'est pas le vrai problème. La vraie question est de savoir si la conception de l'outil rend le vol de données structurellement impossible — ou seulement interdit par la politique.
Le rapport RGPD 2025 de DLA Piper a constaté une hausse de 34 % des montants moyens des amendes en 2024 par rapport à 2023. Cette tendance augmente les enjeux pour tout délégué à la protection des données qui approuve des outils de navigateur pour les employés.
Ce que signifie un vrai traitement local
Un véritable outil à traitement local exécute son modèle de détection dans le navigateur. Le modèle est inclus dans l'installation ou téléchargé une seule fois. Après cela, aucun contenu ne parvient jamais aux serveurs de l'éditeur.
Le seul trafic sortant est la requête anonymisée vers le service d'IA et les requêtes courantes du navigateur comme les vérifications de mise à jour. Les contenus ne traversent jamais le réseau de l'éditeur.
Cette conception peut être testée et vérifiée. Les promesses des éditeurs seuls ne sont pas fiables. Les incidents de décembre 2025 l'ont prouvé.
Comment vérifier n'importe quel outil de confidentialité
Ne demandez pas si l'éditeur promet la confidentialité. Demandez si la conception rend le vol de données impossible.
Test réseau : Installez l'outil dans un réseau surveillé. Collez de faux identifiants personnels dans un compte de test d'IA. Observez toutes les connexions sortantes pendant 30 secondes. Si du trafic va vers un domaine qui n'est ni la plateforme d'IA ni le serveur de mise à jour de l'outil, votre contenu est redirigé ailleurs.
Revue de code : Les add-ons Chrome sont des bundles JavaScript. Ils peuvent être décompilés. Un véritable outil à traitement local n'a aucun appel réseau dans son code de détection. Aucun fetch, aucun XMLHttpRequest, aucun WebSocket dans le module de détection est un bon signe. Leur présence est rédhibitoire.
Vérification des permissions : Chrome Manifest V3 exige des permissions explicites. Un outil à traitement local n'a pas besoin de permissions pour envoyer du contenu en dehors du navigateur. L'accès au presse-papiers combiné à de larges permissions réseau — sans raison claire — est un signal d'alarme.
Vérification de l'éditeur : Le statut d'éditeur vérifié sur le Chrome Web Store requiert une preuve de domaine et des documents d'identité. Les nouveaux éditeurs avec de nouveaux domaines qui vendent des outils de confidentialité IA méritent un examen approfondi. Les attaquants de décembre 2025 utilisaient des identités éphémères pour éviter la détection.
900 000 utilisateurs touchés
L'analyse d'Astrix Security sur décembre 2025 a révélé 900 000 utilisateurs touchés par des add-ons qui se faisaient passer pour des outils de confidentialité. Ces utilisateurs avaient choisi ces outils pour protéger leurs sessions IA. Les outils ont fait le contraire.
Une session d'employé compromise peut exposer des dossiers clients, des fichiers juridiques et des plans internes. La présentation sécurité et conformité explique comment cette chaîne de risques fonctionne.
Choisir un outil que vous pouvez vérifier
La Chrome Extension anonym.legal exécute la détection des données personnelles entièrement dans le navigateur. Rien n'est envoyé aux serveurs d'anonym.legal à aucun moment.
| Add-ons malveillants | anonym.legal | |
|---|---|---|
| Traitement | Serveurs distants | Navigateur uniquement |
| Portée d'accès | Capture complète de session | Uniquement quand actif |
| Vérifiable par l'utilisateur | Non | Oui — testez le réseau |
Comment ça fonctionne :
- Vous collez du texte avec des identifiants personnels
- La détection s'exécute localement dans votre navigateur
- Les noms et identifiants deviennent des tokens — "Jane Smith" devient
[PERSON_1] - Le texte nettoyé va vers l'IA
- La réponse de l'IA est restaurée localement pour vous
Le centre de conformité couvre la liste complète des entités et les détails des audits d'entreprise.