Les mots ont un sensDes VPN et bloqueurs de pubs gratuits siphonnent les conversations avec les IA
Une enquête de Koi Security révèle que plusieurs extensions gratuites de VPN et de bloqueurs de pub pompaient en douce les bavardages des utilisateurs avec les IA. La bonne blague… ces extensions étaient présentées comme des « outils de protection », et largement mises en avant — voire recommandées — sur les stores Chrome et Edge.
Mais qui aurait pu prédire ?
Tout bascule avec la version 5.5.0, déployée le 9 juillet 2025. À partir de là, les extensions se sont mises à intercepter automatiquement tout ce qui transitait sur ChatGPT, Gemini, Claude, Copilot, Perplexity, Grok ou Meta AI. Messages envoyés, réponses reçues, identifiants de session, horodatages, infos de navigation… un aspirateur industriel branché sur ta vie numérique. Aucune option pour désactiver ça : seule solution, désinstaller. Encore fallait‑il le savoir…
Allez, je te balance les noms, que tu puisses fermer ce navigateur et retourner à une vie normale (ou pas). Il s’agit d’extensions signées Urban Cyber Security Ltd : Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker. Ça, c’est fait.
8 millions d’utilisateurs pillés
Au total, plus de 8 millions d’installations sont concernées. VPN, bloqueur de pubs, « browser guard », proxy… un beau cocktail. Dans leur fenêtre de consentement à rallonge (que personne ne lit jamais), la société évoquait bien un partage de données « pour analyse et marketing », mais dans un flou artistique soigneusement concocté. Pendant ce temps, sur les boutiques d’extensions, c’est propre, c’est net : « aucune donnée n’est vendue ».
Le plus gênant : plusieurs de ces outils portaient fièrement le badge « recommandé » par Chrome ou Edge, censé garantir une vérification rigoureuse. Pourtant, elles enfreignaient clairement les règles. Et à ce jour, 1ClickVPN est toujours recommandé (peut‑être pas la même que 1ClickVPN Proxy… mais ça n’inspire pas une confiance folle).
Si c’est gratuit, c’est que c’est toi le produit (*)
L’affaire rappelle une vérité vieille comme les internets : installer un logiciel ou une extension « populaire et bien notée » n’a jamais garanti la moindre sécurité. Et quand les données siphonnées sont celles de conversations avec des IA, un espace où (paraît-il) l’on partage parfois plus qu’avec un psy, un collègue ou un ami, alors les risques deviennent soudain beaucoup plus concrets.
* : La petite âme vicieuse que tu es aura sûrement une remarque du genre : « Hé, ton site est gratos, gros naze ! Alors c’est moi, le produit ? » Ma réponse est simple : 1/ Alors, déjà, la grossophobie c’est pas bien, et je suis au régime, on fait ce qu’on peut. 2/ Je pense faire partie du top 1% des sites qui respectent le plus la vie privée. 3/ Encore quelques semaines/mois pour remettre LMOUS sur les rails, après 10 kilos ans de sommeil, et je ferai appel à ta bonté. Car oui, faire un site comme LMOUS coûte, un peu, et pas seulement en temps.
À noter : Koi Security et Urban Cyber Security sont deux sociétés israéliennes. Donc, a priori, pas d’interférence géopolitique dans cette affaire.
Voir aussi l’analyse de Benoit Grunemwald, expert en cybersécurité chez ESET, sur atlantico.fr.