Publié le 30 décembre 2025 à 15h19. Plus de 900 000 utilisateurs de Chrome ont vu leur vie privée compromise par des extensions malveillantes qui espionnaient leurs conversations avec des intelligences artificielles comme ChatGPT et DeepSeek. Malgré l’alerte donnée, ces extensions restent disponibles sur le Chrome Web Store, dont l’une est même mise en avant par Google.
- Deux extensions Chrome, cumulées à plus de 900 000 installations, ont été identifiées comme malveillantes.
- Ces extensions volent les conversations des utilisateurs avec des IA, ainsi que des données de navigation.
- Google a été informé du problème, mais les extensions restent accessibles au public, dont une avec le badge « En vedette ».
Une nouvelle campagne de logiciels malveillants cible les utilisateurs de Chrome, compromettant la confidentialité de leurs interactions avec les intelligences artificielles. L’équipe de sécurité OX Security a découvert que deux extensions, se présentant comme des assistants d’IA, collectaient secrètement les conversations des utilisateurs sur ChatGPT et DeepSeek, ainsi que leurs habitudes de navigation. Ces données étaient ensuite transmises à des serveurs contrôlés par les attaquants.
Les extensions malveillantes, baptisées “Discutez GPT pour Chrome avec GPT-5, Claude Sonnet et DeepSeek AI” (600 000 installations) et “Barre latérale IA avec Deepseek, ChatGPT, Claude et plus” (300 000 installations), imitent l’extension légitime AITOPIA Chrome, qui propose une barre latérale pour interagir avec les grands modèles de langage. Au lieu de simplement offrir cette fonctionnalité, les clones malveillants enregistrent les conversations sensibles, les URL visitées, les jetons de session et même des informations internes aux entreprises. Ces données sont ensuite envoyées tous les 30 minutes à des serveurs de commande et de contrôle (C2) tels que deepaichats[.]com et chatsaigpt[.]com.
OX Security a signalé le problème à Google le 29 décembre 2025. Au 30 décembre, les deux extensions sont toujours disponibles sur le Chrome Web Store, et la version la plus populaire arbore toujours le badge « En vedette » de Google, une distinction censée garantir le respect des bonnes pratiques. Les attaquants ont même intégré des références à AITOPIA dans leurs politiques de confidentialité, dans le but de tromper les utilisateurs.
Une fois installées, les extensions attribuent un identifiant unique à chaque utilisateur et surveillent en permanence les onglets du navigateur. Lorsqu’un utilisateur accède à ChatGPT ou DeepSeek, le logiciel malveillant extrait le contenu des conversations directement à partir du code source de la page. De plus, les extensions collectent toutes les URL des onglets ouverts, exposant ainsi les habitudes de navigation, les recherches et les informations potentiellement sensibles des utilisateurs. Elles utilisent l’API tabs.onUpdated de Chrome pour collecter ces URL et les stockent localement avant de les envoyer par lots aux serveurs C2.
Les créateurs des extensions malveillantes ont également mis en place une tactique de persistance : la désinstallation d’une extension ouvre automatiquement un onglet proposant l’installation de l’autre. Cette stratégie a déjà été observée dans d’autres campagnes de logiciels malveillants.
Cette découverte intervient après une alerte similaire émise plus tôt ce mois-ci par Koi Security, qui a révélé que plusieurs extensions Chrome et Edge, se présentant comme des « VPN gratuits » et également labellisées « En vedette », enregistraient les conversations de chat IA depuis juillet 2025. Ces extensions, téléchargées plus de 8 millions de fois, intégraient des scripts JavaScript pour intercepter les requêtes et les réponses sur des plateformes telles que Gemini, Copilot et Grok.
Dans les deux cas, la méthode d’attaque repose sur l’exploitation abusive des autorisations accordées aux extensions de navigateur fiables, afin de collecter discrètement les interactions avec les intelligences artificielles – une catégorie de données de plus en plus sensible, tant pour les particuliers que pour les entreprises.
Sur le même sujet
