Incidents associés
Vous connaissez ces mèmes (https://www.reddit.com/r/meme/comments/1pat8ns/every/) qui prétendent qu'un VPN gratuit n'existe pas ? Voici l'exemple parfait qui en est la preuve.
Une enquête récente (https://www.koi.ai/blog/urban-vpn-browser-extension-ai-conversations-data-collection) menée par la société de sécurité Koi, basée à Tel Aviv, a mis au jour une vaste opération de collecte de données liée à une extension gratuite du navigateur Chrome de Google. Baptisée Urban VPN Proxy, cette extension comptait environ six millions d'utilisateurs au moment de la rédaction de cet article et bénéficiait même d'un badge « À la une » sur le Chrome Web Store, autrement dit, d'une recommandation de Google lui-même.
Comme l'écrit Idan Dardikman, chercheur chez Koi, cette extension va bien au-delà des fonctionnalités d'un VPN classique. Sous le capot se cachent des scripts d'exécution conçus pour intercepter et capturer les conversations des principales plateformes d'IA, notamment ChatGPT d'OpenAI, Claude d'Anthropic, Gemini et DeepSeek de Google, ainsi que Grok de xAI.
Selon Dardikman, les données collectées englobent toutes les questions qu'un utilisateur pourrait poser à son chatbot, y compris « les questions médicales, les informations financières, le code propriétaire, les dilemmes personnels, le tout étant vendu à des fins d'analyse marketing ».
Que le VPN soit activé ou non, Urban VPN Proxy collecte en permanence les données de conversation. Le script est activé par défaut ; ainsi, dès qu'un utilisateur télécharge l'extension, ses échanges avec le chatbot sont accessibles à tous.
Pire encore, comme le souligne Forbes, « il n'existe aucune option permettant à l'utilisateur de désactiver cette fonctionnalité. La seule solution pour arrêter la collecte de données est de désinstaller complètement l'extension. »
La société à l'origine d'Urban VPN Proxy, Urban Cyber Security Inc., ne cache rien de tout cela. Comme le remarque Dardikman, sa politique de confidentialité indique clairement que « nous partageons les données de navigation Web avec notre société affiliée », un courtier en données nommé BiScience, « qui utilise ces données brutes pour en extraire des informations exploitables commercialement et partagées avec nos partenaires commerciaux. »
Malgré cela, la page d'Urban VPN Proxy sur le Chrome Web Store (https://chromewebstore.google.com/detail/eppiocemhmnlbhjplcgkofciiegomcon/privacy) affirme que « vos données ne sont pas vendues à des tiers, en dehors des cas d'utilisation approuvés », et qu'elles « ne sont ni utilisées ni transférées à des fins sans rapport avec la fonctionnalité principale de l'application ».
Bien que cette révélation puisse surprendre les six millions d'utilisateurs d'Urban VPN Proxy, il est certain que cette application n'est pas la seule à recourir à ce système. En effet, Forbes indique que plus de deux millions d'utilisateurs utilisent sept autres applications du même éditeur, chacune présentant une fonctionnalité de collecte de données par IA identique. Toutes, sauf une, bénéficient d'une mise en avant sur le Chrome Web Store de Google.
Comme l'écrit Dardikman de Koi : « Si vous avez installé l'une de ces extensions, désinstallez-la immédiatement. Considérez que toutes vos conversations avec l'IA depuis juillet 2025 ont été enregistrées et partagées avec des tiers. »
Même si vos applications n'ont pas été développées par cette entreprise, il serait judicieux d'examiner attentivement leurs politiques de confidentialité afin de vérifier la présence d'autorisations de collecte de données similaires. Comme l'a démontré Dardikman, en matière de collecte de données, tout est possible.