Les extensions Chrome dopées à l’IA promettent de simplifier le quotidien, mais une nouvelle étude montre qu’elles peuvent aussi devenir une porte d’entrée discrète pour la collecte de données personnelles. Incogni a passé au crible 442 modules populaires et dresse un panorama des risques.
Plus de la moitié des extensions IA étudiées collectent au moins un type de données, et près d’un tiers récupèrent des informations identifiantes comme le nom ou les coordonnées. Au total, ces modules affichent environ 115,5 millions de téléchargements, autant de navigateurs où des fragments de vie numérique peuvent potentiellement remonter vers des serveurs tiers.
L’analyse repose sur trois briques : les permissions techniques demandées (accès aux pages, aux onglets, aux frappes du clavier), les types de données que les développeurs déclarent collecter sur le Chrome Web Store, et des scores internes d’impact et de probabilité de risque. Incogni combine ces éléments dans un score global en doublant le poids des données collectées et des permissions sensibles, car ce sont elles qui exposent le plus la vie privée.
Des extensions un peu trop curieuses
Derrière ces chiffres, ce sont surtout les permissions qui posent problème. Environ 42 % des extensions IA testées demandent l’autorisation "scripting", laquelle permet d’injecter du code dans les pages, de lire ce qui s’y affiche ou ce que vous tapez, voire de modifier le contenu à la volée. Incogni estime que cette seule permission concerne jusqu’à 92 millions d’utilisateurs, alors qu’elle n’est pas toujours strictement nécessaire à la fonction décrite par l'éditeur.
Toutes les catégories ne présentent pas le même profil de risque. Les assistants de programmation et les aides aux calculs figurent dans le haut du classement : ils manipulent du code, parfois confidentiel, et réclament souvent un accès large au contenu des pages et aux formulaires. Viennent ensuite les assistants de réunion ou de transcription audio. Ces derniers doivent écouter ou transcrire des échanges parfois sensibles et peuvent, là encore, cumuler permissions et collecte de données. À l’autre bout du spectre, les générateurs audio ou vidéo se montrent en moyenne moins intrusifs selon le score d’Incogni, même si chaque extension reste un cas particulier à vérifier.
Des outils très populaires, déjà dans le viseur des chercheurs
Parmi les modules les plus utilisés, des noms bien connus comme Grammarly ou QuillBot apparaissent dans la zone de risque élevée. Incogni relève qu’ils peuvent accéder au contenu des sites visités, aux textes saisis, à des éléments d’"activité utilisateur" (clics, interactions, parfois mouvements de souris) et, via l’adresse IP, à une localisation approximative. Combinées, les permissions "activeTab" et "scripting" permettent de comprendre assez bien ce qu'il se passe dans l’onglet en cours de lecture.
En décembre, une enquête sur Urban VPN Proxy a montré comment une extension estampillée "recommandée" par Google capturait prompts et réponses de services comme ChatGPT ou Gemini pour les envoyer à un courtier en données. D'ailleurs, d’autres modules du même éditeur ont été pris en faute sur 900 000 navigateurs supplémentaires. L’étude d’Incogni ne se focalise pas sur ces cas extrêmes, mais rappelle que dès qu’une extension lit ce que vous écrivez ou ce que vous consultez, il est judicieux de se poser la question: ces informations restent-elles en local, ou partent-elles enrichir des profils exploités par des acteurs tiers ?
