Les chercheurs en cybersécurité de l’entreprise KOI mettent en lumière un vaste et sournois réseau de revente de données. Ce système repose sur plusieurs extensions de navigateur, téléchargées des millions de fois et arborant les certifications les plus prestigieuses.

De l’extérieur, Urban VPN Proxy a tout d’une extension idéale. Plus de six millions d’utilisateurs sur Chrome, une note de 4,7 étoiles, un badge «À la une », gage de respectabilité, et une promesse alléchante : « protéger votre vie privée » gratuitement.

Pourtant, cette extension de navigateur, disponible au téléchargement sur Google Chrome et Microsoft Edge, est la tête d’affiche d’un vaste réseau de solutions VPN ayant exfiltré des millions de conversations entre utilisateurs et plusieurs chatbots d’IA vers un courtier en données.

C’est ce que révèle la dernière étude de la société de cybersécurité KOI, publiée sur son blog le 15 décembre 2025.

Sournois, le piège n’a pas été mis en place dès la création d’Urban VPN Proxy, mais lors d’une mise à jour déployée en juillet 2025. Celle-ci introduisait une nouvelle fonctionnalité baptisée « protection par IA ».

Urban VPN Proxy est toujours disponible au téléchargement sur Google Chrome // Source : Capture d'écran Numerama
Urban VPN Proxy est toujours disponible au téléchargement sur Google Chrome. // Source : Capture d’écran Numerama

Comment les données sont exfiltrées ?

Concrètement, sous couvert d’assurer la sécurité des utilisateurs lors de leurs échanges avec différents grands modèles de langage (LLM), Urban VPN active par défaut un système de collecte systématique des prompts, des réponses, des identifiants de conversation, des horodatages et de la plateforme utilisée.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement
Extrait de code vérifiant si l'URL visitée fait partie de la liste des IA espionnées par l'extension // Source : KOI Security
Extrait de code vérifiant si l’URL visitée fait partie de la liste des IA espionnées par l’extension // Source : KOI Security

ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok, Meta AI… L’extension aspire l’intégralité des conversations, même lorsque l’utilisateur n’est pas connecté au VPN. Il suffit que l’extension soit installée sur le navigateur.

Techniquement, l’extension surveille les onglets et, dès qu’une page d’un service d’IA ciblé est ouverte, elle y injecte un script dédié (chatgpt.js, claude.js, gemini.js, etc.). Ce script redéfinit ensuite les fonctions réseau de base afin de faire transiter chaque requête et chaque réponse par son propre code avant que le navigateur ne les traite.

Les réponses des IA sont ensuite analysées pour en extraire les prompts, les sorties, les métadonnées et les identifiants de session, avant d’être compressées puis exfiltrées vers des domaines tels que analytics.urban-vpn.com et stats.urban-vpn.com.

À aucun moment, l’utilisateur ne dispose d’un bouton clair permettant de refuser cette collecte .

Un data broker aux commandes ?

Outre Urban VPN Proxy, les chercheurs de KOI indiquent avoir retrouvé le même code de siphonnage de conversations dans sept autres extensions appartenant au même éditeur : Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker. Au total, plus de huit millions d’utilisateurs seraient concernés.

À la tête de ce réseau ? Urban Cyber Security Inc., une entreprise liée à BiScience, société spécialisée dans les produits de monétisation de données.

Un constat particulièrement inquiétant lorsqu’on mesure la sensibilité et la précision des données brutes échangées régulièrement entre un utilisateur et un chatbot d’IA.

Le rapport pointe également du doigt la responsabilité des plateformes de téléchargement de ces extensions, qui leur offrent visibilité et crédibilité. Urban VPN Proxy, notamment, mentionne explicitement la collecte de données par IA dans sa politique de confidentialité, tandis que la fiche produit du Chrome Web Store indique que les données ne sont pas vendues à des tiers, sauf dans les cas d’utilisation approuvés. De quoi dérouter l’utilisateur.

À l’heure où nous rédigeons ces lignes, Urban VPN Proxy est toujours disponible au téléchargement, et ni Google ni Microsoft n’ont réagi à cette affaire.

Pour les chercheurs de KOI, une seule solution s’impose : « Si vous avez installé l’une de ces extensions, désinstallez-la immédiatement. Sachez que toutes vos conversations avec l’IA depuis juillet 2025 ont été enregistrées et partagées avec des tiers. »

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !