Une enquête cyber de Certo Software révèle une technique de cyberharcèlement inquiétante : la synchronisation Chrome, détournée en quelques minutes, peut permettre à un partenaire violent d'espionner tout l'historique de navigation d'une victime, à distance et sans laisser de trace.

Un outil pensé pour simplifier la vie numérique des internautes est aujourd'hui au cœur d'une dérive assez préoccupante en matière de vie privée. Selon une enquête de Certo Software, la fonctionnalité Chrome Sync, censée synchroniser vos données entre appareils, peut être discrètement activée par un tiers en quelques minutes seulement, sans logiciel espion ni compétence technique particulière. Résultat, on a ici un moyen de surveillance redoutablement efficace, capable, qui plus est, de passer totalement inaperçu aux yeux de sa victime.
Comment un compte Google inconnu peut espionner votre navigation
L'attaque commence toujours de la même façon : un partenaire, ou ex-partenaire, profite d'un moment où le téléphone n'est pas surveillé, sachant que parfois, seulement quelques minutes suffisent. Il ouvre l'application Chrome et se connecte avec un compte Google qui n'est pas celui de la victime, mais le sien, donc une simple adresse Gmail, comme celle qu'on utilise pour n'importe quel service Google. Il active ensuite la synchronisation, une option qui permet normalement de retrouver ses onglets et son historique sur plusieurs appareils personnels. Mal utilisée, elle fait exactement l'inverse, c'est-à-dire qu'elle copie discrètement la navigation de la victime vers le compte de l'agresseur, sans qu'aucune application suspecte n'apparaisse sur le téléphone. C'est ce qu'a vécu Emma*, dont le témoignage illustre les nombreux signalements similaires reçus par Certo, à l'origine de son enquête.
Dès lors, chaque site visité par la victime est copié automatiquement vers ce compte tiers. L'agresseur peut ensuite consulter cet historique depuis n'importe quel appareil connecté à Internet, sans jamais retoucher au téléphone espionné. Aucune alerte ne prévient la victime, les notifications de connexion suspecte partent vers le compte de l'attaquant, pas vers le sien, et Chrome n'affiche de son côté ni pop-up ni badge signalant qu'un nouveau compte a été ajouté ou qu'une synchronisation vient de démarrer.
Certo nous rappelle que ces dernières années, les smartphones sont devenus beaucoup plus difficiles à infecter avec un logiciel espion classique, grâce aux mises à jour de sécurité régulières, aux contrôles stricts sur les applications proposées en téléchargement, et aux systèmes qui détectent les comportements suspects. Installer un mouchard directement sur l'appareil est donc devenu risqué pour un agresseur, qui pourrait se faire repérer. Beaucoup se tournent alors vers une méthode plus discrète, qui consiste à détourner une application déjà installée et parfaitement légale, comme Chrome, plutôt que d'en ajouter une nouvelle. Le problème, c'est que la plupart des utilisateurs ne savent même pas si leur navigateur est connecté à un compte Google ou non : un compte inconnu ajouté à leur insu passe donc totalement inaperçu.
Chrome, une cible de choix par son omniprésence
L'ampleur de sa surface d'attaque rend le procédé d'autant plus préoccupant. Chrome représentait environ 70% du marché mondial des navigateurs en juin 2026, selon StatCounter. Concrètement, sept internautes sur dix naviguent potentiellement avec cet outil.
Autre point d'alerte : cette technique ne concerne pas que les téléphones portables. Le même mécanisme fonctionne à l'identique sur un ordinateur, que ce soit sous Windows ou sur Mac, dès lors que Chrome y est installé. La procédure est d'ailleurs la même, à savoir connecter un compte Google inconnu à l'application, puis activer la synchronisation. Un ordinateur familial ou de bureau, laissé sans surveillance ne serait-ce que quelques minutes, offre donc exactement la même porte d'entrée qu'un mobile.
Certo évoque aussi un risque en cascade. Une fois la synchronisation activée, Chrome ne copie pas seulement l'historique de navigation. Par défaut, il fait de même avec les mots de passe que la victime enregistre dans le navigateur, par exemple lorsqu'elle se connecte à sa messagerie ou à un compte bancaire. Si elle en sauvegarde un après coup, celui-ci part lui aussi automatiquement vers le compte de l'agresseur. Ce qui ressemblait à un simple problème de vie privée peut donc virer à une prise de contrôle bien plus large, puisqu'au-delà de savoir où sa victime navigue, l'agresseur peut possiblement accéder à ses comptes les plus sensibles.
Ce que Certo Software recommande à Google pour combler la faille
La bonne nouvelle, c'est que vérifier si votre Chrome n'a pas été détourné ne prend même pas une minute, et ne demande aucune compétence technique. Sur iPhone comme sur Android, PC ou Mac, il suffit d'ouvrir les paramètres de l'application pour voir quel compte est actuellement connecté. Si un nom ou une adresse e-mail inconnue apparaît, il faut le supprimer immédiatement et changer les mots de passe enregistrés dans le navigateur.

Au-delà de ce simple réflexe, quelques habitudes limitent les risques. Il faut par exemple verrouiller son téléphone avec un code fort, vérifier qu'aucune empreinte ou visage inconnu n'a été ajouté à la reconnaissance biométrique, et privilégier le mode navigation privée pour les recherches sensibles, puisque ces pages n'alimentent jamais l'historique synchronisé. Certo rappelle aussi qu'il peut être utile de faire confiance à son instinct. Un sentiment de « comment a-t-il pu savoir ça » mérite d'être vérifié, plutôt qu'ignoré.
De son côté, Certo appelle Google à combler cette faille par deux mesures simples. La première serait de faire apparaître une notification temporaire et discrète chaque fois qu'un nouveau compte est ajouté à Chrome ou que la synchronisation est activée, un peu comme une alerte de connexion qu'on reçoit déjà sur d'autres services. La seconde pourrait être d'afficher en permanence, dans un coin de l'application, un petit indicateur précisant si Chrome est actuellement synchronisé, et avec quel compte, chose que l'on peut voir qu'en passant par les paramètres du navigateur, et qui n'est pas directement visible. Ces deux ajustements pourraient, pour Certo, être déterminants pour les victimes de surveillance conjugale par exemple, avec un rappel que les plus grandes menaces numériques ne viennent pas toujours d'un logiciel malveillant, mais parfois d'une fonctionnalité ordinaire, détournée par quelqu'un de proche.
*le prénom a été modifié.