31 | décembre | 2025 | DATA SECURITY BREACH

Des extensions censées protéger la vie privée ont siphonné des conversations avec des chatbots. Selon des chercheurs, plus de 8 millions d’utilisateurs ont été exposés, via une collecte activée par défaut.

D’après une enquête rapportée par The Register et une analyse de Koi Security, quatre extensions diffusées sur Chrome Web Store et Microsoft Edge Add-ons, Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker, auraient capturé le texte de conversations menées sur des plateformes d’IA. Les services visés incluent notamment ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok et Meta AI. La collecte serait activée par un paramètre codé en dur, sans option visible pour la désactiver, l’arrêt passant par la désinstallation. Les données interceptées seraient ensuite envoyées vers des domaines liés à Urban VPN.

Quatre extensions populaires, une collecte invisible

L’histoire commence par un paradoxe : des outils présentés comme des remparts, bloqueurs de publicité, « browser guard » et VPN, se comportent comme des micros. Koi Security affirme que quatre extensions ont été conçues pour capter et transmettre le texte des interactions avec des chatbots, et que plus de 8 millions de personnes les auraient installées. Les extensions citées sont Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker. Elles sont distribuées via les boutiques d’extensions de Chrome et d’Edge, donc dans un espace censé filtrer les comportements abusifs.

Selon Idan Dardikman, cofondateur et directeur technique de Koi, Urban VPN Proxy cible des conversations sur dix plateformes d’IA. La liste mentionnée couvre un éventail large : ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok et Meta AI figurent parmi les services nommés. L’enjeu dépasse la simple confidentialité d’un historique : une conversation avec un chatbot peut contenir des données personnelles, des questions de santé, des éléments professionnels, des secrets d’entreprise, ou des fragments d’identité. Ici, la collecte est décrite comme activée par défaut, via un paramètre de configuration intégré au code. Dardikman affirme qu’aucun réglage côté utilisateur ne permet de l’arrêter, la seule façon de stopper la collecte étant de désinstaller l’extension.

Comment l’extension intercepte vos requêtes et réponses

Le mécanisme décrit est agressif et s’appuie sur la position privilégiée d’une extension dans le navigateur. Dardikman explique qu’Urban VPN Proxy surveille les onglets et, lorsqu’un utilisateur visite une plateforme ciblée, par exemple un site de chatbot, l’extension injecte un script dédié, qualifié d’“executor”. Ce script ne se contente pas d’observer : il s’interpose sur les fonctions réseau du navigateur. Concrètement, il remplace ou enveloppe fetch() et XMLHttpRequest, les deux APIs fondamentales par lesquelles transitent les requêtes et réponses web. Résultat, chaque échange réseau sur la page passe d’abord par le code de l’extension.

Le script analyse ensuite les réponses d’API interceptées, isole le contenu conversationnel, puis prépare l’exfiltration. Le transfert interne s’effectue via window.postMessage avec un identifiant, PANELOS_MESSAGE, vers le “content script” de l’extension. Ce composant relaie ensuite les données à un service worker en arrière-plan, chargé de les envoyer sur le réseau. Les domaines cités pour la sortie sont analytics.urban-vpn.com et stats.urban-vpn.com. Dans ce schéma, l’utilisateur ne voit rien : aucune fenêtre, aucune notification, aucun indice visuel. L’extension exploite une logique simple, capter au niveau où tout transite, avant même que la page ou le service d’IA ne puisse “protéger” la conversation.

The Register précise avoir contacté Urban VPN, une société affiliée nommée BiScience, ainsi que 1ClickVPN via leurs adresses mail dédiées à la confidentialité. Les demandes auraient échoué, les messages étant revenus en erreur. Ce dossier est relié à des travaux antérieurs attribués au chercheur Wladimir Palant et à John Tuckner de Secure Annex, évoquant une collecte de données de navigation par BiScience. Selon Dardikman, l’enjeu serait désormais l’extension de cette collecte aux conversations avec des IA.

Consentement, « protection » affichée et zone grise des boutiques

Le débat se déplace alors sur le terrain de la conformité et de la gouvernance. Dardikman affirme qu’Urban VPN mentionne la collecte de données d’IA lors d’un écran de configuration et dans sa politique de confidentialité. Mais il souligne un décalage : la fiche de l’extension sur le Chrome Web Store indiquerait que les données ne sont pas vendues à des tiers en dehors de cas d’usage approuvés, et les conversations avec des IA ne seraient pas nommées explicitement. Il ajoute que le texte de consentement présenterait la surveillance comme une mesure de protection, tandis que la politique de confidentialité indiquerait une vente des données à des fins marketing.

Un point de chronologie compte, car il conditionne le consentement. Dardikman dit que les utilisateurs ayant installé Urban VPN avant juillet 2025 n’auraient jamais vu l’écran de consentement, ajouté plus tard via une mise à jour silencieuse en version 5.5.0. Il estime aussi que l’extension ne signalerait pas que la collecte se poursuit même quand le VPN n’est pas actif, ce qui change la perception de risque : l’utilisateur pense activer un service ponctuel, alors qu’une surveillance persistante serait en place.

Autre élément sensible : Urban VPN aurait obtenu un badge “Featured” sur le Chrome Web Store, ce qui implique, selon Dardikman, une revue humaine. Il en déduit un dilemme : soit la revue n’a pas vu le code collectant des conversations, y compris sur un produit d’IA de Google comme Gemini, soit elle l’a vu sans y voir de problème. Palant pointe, dans l’analyse citée, une possible faille d’interprétation de la règle « Limited Use », qui autorise des transferts de données vers des tiers dans des scénarios limités ne couvrant pas, selon cette lecture, les courtiers en données. Il avance que des acteurs malveillants peuvent invoquer des exceptions, « nécessaire au fonctionnement », ou « sécurité », en ajoutant des fonctions comme le blocage de publicités ou la navigation sécurisée. Google, selon The Register, n’a pas répondu immédiatement à une demande de commentaire.

Ce dossier rappelle que la menace ne vient pas seulement d’un site web ou d’un malware classique, mais d’un composant de confiance installé dans le navigateur, capable de regarder avant tout le monde et d’envoyer ailleurs ce qu’il voit. Côté recommandation, DataSecurityBreach.fr conseille fortement : désinstaller ces extensions et considérer que les conversations avec des IA depuis juillet 2025 ont pu être collectées.

Une fuite fonctionnelle a exposé des dossiers d’usagers à des tiers dans des portails d’action sociale. Trois ans plus tard, la CNIL inflige 1,7 million d’euros pour défauts de sécurité jugés élémentaires.

Le 22 décembre 2025, la CNIL a condamné NEXPUBLICA FRANCE à 1 700 000 euros d’amende pour insuffisance de mesures de sécurité autour de PCRM, un progiciel de gestion de la relation usagers utilisé dans l’action sociale, notamment par des MDPH. Fin novembre 2022, des clients ont signalé à la CNIL que des utilisateurs accédaient à des documents appartenant à des tiers. Les contrôles ont mis en évidence des faiblesses techniques et organisationnelles, des vulnérabilités connues via des audits, et des corrections tardives, après la violation. La sensibilité des données, dont certaines révèlent un handicap, a pesé lourd.

Le déclencheur : des usagers voient les documents d’autrui

Le dossier démarre par une alerte venue du terrain. Fin novembre 2022, des clients de NEXPUBLICA FRANCE notifient à la CNIL une violation de données personnelles après des signalements d’usagers : sur le portail, certains auraient consulté des documents concernant des tiers. Ce type d’incident est redouté en environnement social, car l’accès indu, même « par erreur », produit un dommage immédiat pour les personnes, et expose l’organisation à une perte de confiance durable.

La CNIL intervient alors par des contrôles auprès de l’éditeur. Le contexte est celui d’un logiciel métier, PCRM, destiné à gérer la relation avec les usagers de l’action sociale et utilisé, selon les éléments fournis, par des maisons départementales des personnes handicapées dans certains départements. Autrement dit, la chaîne de traitement ne se limite pas à un site web : elle relie des collectivités, des agents, des workflows administratifs, et des espaces de dépôt ou de consultation de pièces justificatives.

Dans une lecture cyber, l’incident ressemble à une brèche de cloisonnement. Quand un usager obtient des pièces qui ne lui appartiennent pas, l’hypothèse la plus simple n’est pas un « piratage spectaculaire » mais un défaut de contrôle d’accès, de gestion de session ou de logique applicative. C’est précisément ce que la CNIL sanctionne ici : une sécurité qui n’a pas été pensée au niveau du risque réel, alors que le produit traite des données particulièrement sensibles.

Pourquoi l’article 32 du RGPD pèse si lourd dans ce cas

La CNIL fonde la sanction sur l’obligation de sécurité prévue par l’article 32 du RGPD. Le principe est connu, mais il mérite d’être traduit en termes concrets : le responsable de traitement et le sous-traitant doivent mettre en place des mesures adaptées au risque, en tenant compte de l’état de l’art, du coût de mise en œuvre, et de la nature et des finalités du traitement. Ici, la nature du traitement est déterminante : le dossier concerne l’action sociale et inclut des informations pouvant révéler un handicap. La sensibilité intrinsèque augmente mécaniquement le niveau d’exigence attendu.

La formation restreinte, organe de la CNIL chargé des sanctions, retient une faiblesse « généralisée » du système d’information et une forme de négligence, avec des problèmes structurels laissés en place dans la durée. L’autorité relève aussi que la plupart des vulnérabilités constatées relevaient d’un manque de maîtrise de l’état de l’art et de principes de base en sécurité. C’est un point clé : ce reproche ne vise pas une sophistication technique manquante, mais l’absence de fondamentaux.

Le raisonnement suivi par la CNIL, tel qu’il est décrit, tient en trois étapes. Premièrement, des failles existent dans PCRM et exposent des données. Deuxièmement, ces failles étaient identifiées, notamment au travers de plusieurs audits. Troisièmement, malgré cette connaissance, les corrections n’ont été apportées qu’après les violations. Cette chronologie aggrave l’appréciation, car elle transforme une vulnérabilité en manquement persistant, donc en risque accepté par défaut.

Une sanction calibrée sur la sensibilité, l’ampleur et la posture d’éditeur

Le montant, 1 700 000 euros, est justifié par plusieurs critères mentionnés : capacités financières de la société, non-respect de principes élémentaires, nombre de personnes concernées, et sensibilité des données. L’addition de ces facteurs compose une logique de proportionnalité : plus les données sont intimes et le public vulnérable, plus l’exposition est grave ; plus les failles sont « basiques » et connues, plus l’inaction est difficile à défendre.

Le dossier comprend un élément de contexte qui pèse lourd politiquement : NEXPUBLICA FRANCE est spécialisée dans la conception de systèmes et logiciels informatiques. Pour la CNIL, cette spécialisation rend l’argument de l’ignorance moins crédible. Dans une approche de renseignement économique, cela renvoie aussi à l’enjeu de chaîne d’approvisionnement logicielle : quand un éditeur fournit des briques à des acteurs publics, la faiblesse d’un produit peut se répercuter sur des services essentiels et sur des populations sensibles, sans qu’il y ait besoin d’une attaque sophistiquée.

La formation restreinte n’a pas assorti la sanction d’une injonction de mise en conformité, car l’entreprise a déployé les correctifs nécessaires après les violations. Ce détail compte : il montre que l’autorité a choisi de sanctionner l’insuffisance initiale et la gestion tardive des risques, tout en constatant une remédiation effective. En clair, la conformité obtenue après coup n’efface pas le défaut de sécurité au moment où les données étaient exposées.

DATA SECURITY BREACH

Archives quotidiennes :

Des extensions espionnent vos chats avec des IA