Attention aux extensions IA, vos échanges avec ChatGPT et DeepSeek n’étaient peut-être pas privés.
L’essor fulgurant des outils d’intelligence artificielle s’accompagne d’une prolifération d’extensions de navigateur promettant de faciliter l’accès à ChatGPT, DeepSeek et Claude. Mais derrière certaines interfaces soignées et des promesses de productivité se cachent parfois des mécanismes bien plus inquiétants. Une enquête récente menée par OX Security révèle que deux extensions populaires du Chrome Web Store ont discrètement aspiré les conversations de leurs utilisateurs pour les transmettre à des infrastructures malveillantes.
Les extensions concernées, Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI et AI Sidebar with DeepSeek, ChatGPT, Claude, and more, revendiquaient à elles seules près de 900 000 installations. Présentées comme des barres latérales multifonctions, elles imitaient l’apparence d’un module légitime afin d’inspirer confiance. Leur véritable objectif était pourtant tout autre.
Sous couvert d’autorisations banales, collecte de données de navigation à des fins statistiques, ces extensions surveillaient les onglets ouverts, identifiaient les pages liées à ChatGPT et DeepSeek, capturaient le contenu des conversations et enregistraient l’historique de navigation. Toutes les trente minutes, ces informations étaient transmises à des serveurs contrôlés par des cybercriminels. Cette technique porte désormais un nom : le Prompt Poaching.
Les risques sont majeurs
Les discussions avec des IA contiennent souvent des données sensibles (informations personnelles, identifiants, extraits de code, documents professionnels et éléments stratégiques). Dans un environnement professionnel, ce phénomène est associé au Shadow AI, où des outils non approuvés sont utilisés pour gérer des informations sensibles. Ces derniers favorisent l’espionnage industriel, le phishing sur mesure et la revente d’informations.
Google a depuis retiré les deux extensions incriminées, et Chrome les a automatiquement désactivées. Il reste toutefois recommandé de vérifier manuellement la liste des extensions installées via chrome://extensions et de supprimer tout module suspect. Les utilisateurs concernés doivent également envisager de changer leurs mots de passe et de surveiller toute activité inhabituelle sur leurs comptes.
Plus largement, cet incident rappelle l’importance d’une hygiène numérique rigoureuse. Il faut limiter le nombre d’extensions, examiner attentivement les permissions demandées et privilégier des éditeurs reconnus. Pour les entreprises, la gestion des extensions doit désormais faire partie intégrante de la politique de sécurité, au même titre que les applications et services cloud.
