Présentée comme un outil de protection de la vie privée, l’extension Urban VPN Proxy, largement diffusée sur les navigateurs Chrome et Edge, est au cœur d’une analyse publiée par Koi Security au mois de décembre. Les chercheurs y documentent un mécanisme de collecte massive de conversations avec des assistants d’intelligence artificielle, opéré directement depuis le navigateur de l’utilisateur. Une enquête qui interroge frontalement le modèle économique de certains VPN gratuits et, plus largement, la confiance accordée aux extensions.
Une extension populaire, un changement discret de comportement
Avec plusieurs millions d’installations revendiquées, Urban VPN Proxy s’est imposée comme une solution simple pour masquer son adresse IP ou contourner des restrictions géographiques. Selon Koi Security, tout bascule à l’été 2025, à la suite d’une mise à jour de l’extension. Sans alerte visible ni modification explicite de son positionnement marketing, celle-ci intègre de nouveaux scripts capables d’intercepter le trafic lié aux conversations avec des outils d’IA générative accessibles depuis le navigateur.
Les chercheurs décrivent une mécanique précise : l’extension s’insère dans le flux des requêtes réseau, identifie les échanges avec des services d’IA et capture à la fois les questions saisies par l’utilisateur et les réponses générées. Ces données ne restent pas localement sur le poste ; elles sont transmises vers des infrastructures distantes associées à l’écosystème Urban VPN.
La conversation IA comme nouvelle matière première
L’originalité du cas Urban VPN tient à la nature des données collectées. Il ne s’agit pas de simples historiques de navigation ou d’adresses IP, mais de contenus conversationnels, souvent riches, contextuels et parfois sensibles. Koi Security souligne que ces échanges peuvent inclure des informations professionnelles, techniques ou personnelles, saisies par les utilisateurs dans un cadre de confiance vis-à-vis de leurs outils d’IA.
L’analyse montre que la collecte est large et non ciblée : toute interaction détectée avec des assistants d’IA est susceptible d’être aspirée, indépendamment de son contenu ou de son usage. Cette approche industrielle transforme la conversation homme-machine en actif exploitable, sans que l’utilisateur en ait réellement conscience.
Une transparence juridique qui ne dit pas tout
Urban VPN ne nie pas totalement la collecte de données dans sa documentation légale. Sa politique de confidentialité mentionne l’exploitation de données de navigation, incluant certaines interactions avec des services tiers. Mais, pour Koi Security, cette information reste insuffisamment explicite au regard de l’ampleur et de la granularité des données effectivement collectées.
L’écart entre le discours public, centré sur la protection et l’anonymat, et les pratiques techniques observées pose une question centrale : celle du consentement éclairé. Installer une extension VPN gratuite revient-il, de facto, à accepter que ses échanges avec des IA soient capturés et monétisés ? La page de Koi Security laisse entendre que, dans ce cas précis, la réponse est largement imposée plutôt que choisie.
Les extensions, angle mort persistant de la sécurité
Les extensions de navigateur disposent de privilèges étendus et bénéficient d’un haut niveau de confiance, tant de la part des utilisateurs que des plateformes de distribution. Une fois installées, leurs mises à jour s’opèrent souvent sans contrôle humain, ouvrant la voie à des évolutions fonctionnelles majeures, invisibles pour l’utilisateur final.
Pour Koi Security, cette affaire illustre une tendance plus large : la gratuité apparente masque fréquemment une contrepartie data, de plus en plus sophistiquée. À l’ère de l’IA générative, ce ne sont plus seulement les clics ou les URLs qui ont de la valeur, mais le raisonnement, l’intention et le contexte exprimés dans les conversations.
