Koi, une société de sécurité basée à Tel Aviv, enquêté Urban VPN Proxy, une extension Google Chrome avec six millions d’utilisateurs et un badge vedette de Google. L’enquête a révélé que des scripts d’exécution récoltaient les conversations des utilisateurs sur les plateformes d’IA pour les vendre à des courtiers en données. Le chercheur Koi, Idan Dardikman, a détaillé les opérations de l’extension au-delà des fonctions VPN standard. Urban VPN Proxy, publié par Urban Cyber Security Inc., comprend des scripts d’exécution qui interceptent et capturent les conversations des principales plates-formes d’IA. Ces plates-formes comprennent ChatGPT d’OpenAI, Claude d’Anthropic, Gemini de Google, DeepSeek et Grok de xAI. Les scripts s’activent lors de l’installation, ciblant les interactions des utilisateurs avec ces services directement dans l’environnement du navigateur. Les données récoltées couvrent un large éventail de contributions des utilisateurs aux chatbots IA. Dardikman a précisé qu’il inclut les questions médicales, les détails financiers, le code propriétaire, les dilemmes personnels et toutes les autres requêtes posées aux systèmes d’IA. Ces informations sont vendues à des fins d’analyse marketing, transformant les échanges privés en actifs commerciaux traités par des entités affiliées. La collecte de données persiste quel que soit l’état actif du VPN. Les scripts d’exécution s’exécutent en continu à partir du moment de l’installation. Ils fonctionnent par défaut sans aucune intervention de l’utilisateur requise pour les démarrer. Aucune bascule destinée à l’utilisateur n’existe pour désactiver la fonctionnalité de scraping. Les utilisateurs doivent désinstaller complètement l’extension pour arrêter le processus de capture de données. Urban Cyber Security Inc. divulgue certaines pratiques dans sa politique de confidentialité. Dardikman a souligné que la politique stipule explicitement : « nous partageons les données de navigation Web avec notre société affiliée », identifiée comme le courtier de données BiScience, « qui utilise ces données brutes et crée des informations qui sont utilisées commercialement et partagées avec des partenaires commerciaux ». Ce partage transforme les données brutes de navigation et de conversation en informations commercialisables distribuées à des partenaires externes. En revanche, la liste du proxy Urban VPN sur le Chrome Web Store présente des assurances différentes. La page déclare que « vos données ne sont pas vendues à des tiers, en dehors des cas d’utilisation approuvés » et ajoute que les données « ne sont pas utilisées ou transférées à des fins sans rapport avec la fonctionnalité principale de l’élément ». Ces déclarations apparaissent à côté du badge en vedette, signalant l’examen et la promotion de Google. Le même éditeur exploite sept extensions Chrome supplémentaires avec une fonctionnalité de collecte d’IA identique. Ces applications servent collectivement plus de deux millions de clients. Tous sauf un portent un badge en vedette sur le Chrome Web Store. Chaque extension intègre les mêmes scripts d’exécution, permettant l’interception des conversations d’IA sur les plateformes répertoriées. Dardikman a lancé un avertissement direct aux utilisateurs. Il a écrit : « Si l’une de ces extensions est installée, désinstallez-la maintenant. Supposons que toutes les conversations IA que vous avez eues depuis juillet 2025 ont été capturées et partagées avec des tiers. » Cette recommandation cible les utilisateurs d’Urban VPN Proxy et des extensions affiliées afin d’éviter toute exposition supplémentaire des données. Les utilisateurs d’extensions de cet éditeur disposent d’autorisations documentées pour le partage de données. Un examen plus approfondi s’applique aux politiques de confidentialité d’autres applications. Les découvertes de Dardikman mettent en évidence les autorisations qui permettent aux données de navigation Web, y compris les interactions de l’IA, de circuler vers des courtiers comme BiScience pour le traitement commercial et la distribution aux partenaires.
