Incidents associés
Une extension populaire pour Chrome (https://www.techradar.com/tag/google) collecte les données saisies par ses utilisateurs et les transmet à la plupart des principaux outils d'intelligence artificielle (https://www.techradar.com/best/best-ai-tools), ainsi que les réponses des chatbots, apparemment dans le but de générer des revenus pour ses propriétaires.
Urban VPN Proxy compte plus de six millions d'installations et une note de 4,7/5 sur le Chrome Web Store de Google. Sur la plateforme Edge Add-ons de Microsoft (https://www.techradar.com/tag/microsoft), elle totalise 1,3 million d'installations supplémentaires.
Auparavant, elle fonctionnait comme un VPN classique, en masquant l'adresse IP réelle de l'utilisateur et en contournant ainsi les géoblocages et autres restrictions. Cependant, comme l'ont découvert les chercheurs en sécurité de Koi le 9 juillet 2025 (https://www.koi.ai/blog/urban-vpn-browser-extension-ai-conversations-data-collection), l'extension a été mise à jour avec la version 5.5.0, introduisant par défaut la collecte de données par l'IA.
Mise à jour de la politique de confidentialité
Tout ce que les utilisateurs saisissaient dans ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, Grok, Meta AI et Perplexity était enregistré, ainsi que toutes les données renvoyées par ces outils. De plus, l'extension extrayait également les identifiants de conversation, les horodatages, les métadonnées de session, ainsi que la plateforme et le modèle d'IA utilisés.
La société à l'origine de l'extension, Urban Cyber Security, ne cache pas ses pratiques et indique dans sa politique de confidentialité qu'elle collecte des données « anonymisées » et les partage avec BIScience, une autre de ses filiales.
Cette société est une organisation affiliée spécialisée dans la veille publicitaire et le suivi des marques. En d'autres termes, cette technologie analyse les comportements en ligne anonymisés à grande échelle, permettant aux entreprises de comprendre les performances publicitaires, les parcours clients et l'activité concurrentielle.
Bien qu'Urban affirme supprimer les données personnelles et s'efforce de ne pas partager d'informations sensibles, l'entreprise souligne que cela ne peut être garanti.
« Toutefois, ce traitement n'a pas pour but de collecter des données personnelles ou identifiables. Nous ne pouvons garantir la suppression totale des informations sensibles ou personnelles. Nous mettons en œuvre des mesures pour filtrer ou éliminer tout identifiant ou donnée personnelle que vous pourriez soumettre via les invites, et pour dépersonnaliser et agréger les données », indique la politique de confidentialité.
Les chercheurs de Koi ont constaté que la même entreprise possède plusieurs extensions qui collectent toutes les mêmes données : 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker.