L’ère de l’innocence est terminée : vos assistants IA sont des agents doubles
C’est un scénario digne d’un roman d’espionnage, mais qui se joue dans la barre d’outils de votre navigateur. Des chercheurs en cybersécurité de chez OX Security viennent de révéler une campagne d’espionnage massive touchant près d’un million d’utilisateurs. Le vecteur d’attaque ? Deux extensions Chrome d’apparence inoffensive, promettant d’optimiser votre expérience avec ChatGPT et le très en vogue DeepSeek.
Loin d’améliorer votre productivité, ces outils agissaient comme des chevaux de Troie sophistiqués, siphonnant silencieusement l’intégralité de vos conversations avec les intelligences artificielles. Ce n’est pas un simple bug, mais une opération de « Prompt Poaching » (braconnage de requêtes) méticuleusement orchestrée.
Le piège doré : quand le malware porte un badge de confiance
L’attaque est d’autant plus pernicieuse qu’elle s’est cachée à la vue de tous. Les deux extensions incriminées ne sont pas des logiciels obscurs téléchargés sur le Dark Web, mais des plugins hébergés officiellement sur le Chrome Web Store. L’une d’elles arborait même le badge « En vedette » (Featured) de Google, un gage de qualité censé rassurer l’utilisateur.
- La star déchue : « Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI » (ID : fnmihdojmnkclgjpcoonokmkhjpjechg) comptait à elle seule plus de 600 000 installations.
- Le complice : « AI Sidebar with Deepseek, ChatGPT, Claude and more » (ID : inhcgfpbfdjbjogdfjbclgolkmhnooop) avait séduit 300 000 utilisateurs.
Ces extensions usurpaient l’identité d’un outil légitime développé par AITOPIA, copiant ses fonctionnalités pour mieux tromper la vigilance des victimes. Sous prétexte d’améliorer le service via des « analyses anonymes », elles obtenaient le consentement nécessaire pour activer leur charge virale.
Mécanique de l’exfiltration : le vol en silence
Une fois installées, ces extensions ne se contentaient pas d’ajouter une barre latérale pratique. En arrière-plan, elles surveillaient l’activité du navigateur via l’API chrome.tabs.onUpdated. Dès qu’un utilisateur se connectait à chatgpt.com ou deepseek.com, le piège se refermait.
Le mécanisme découvert par OX Security est redoutable de simplicité :
- Extraction du DOM : Le script malveillant raclait littéralement le contenu de la page web, capturant vos questions (prompts) et les réponses de l’IA.
- Vol de session : Plus grave encore, les identifiants de session et les cookies étaient copiés, permettant potentiellement aux attaquants de se reconnecter ultérieurement à votre compte sans mot de passe.
- Exfiltration par lots : Pour éviter d’alerter les systèmes de sécurité réseau, les données n’étaient pas envoyées en temps réel. Elles étaient stockées localement, encodées, puis expédiées toutes les 30 minutes vers des serveurs de commande et de contrôle (C2) aux noms évocateurs comme deepaichats.com.
Vos secrets industriels en libre-service
Pourquoi est-ce critique ? Parce que nous ne confions plus seulement des banalités aux IA. Développeurs collant du code propriétaire pour le déboguer, cadres peaufinant une stratégie marketing confidentielle, ou RH rédigeant des contrats sensibles : tout cela transite par ces fenêtres de chat.
Avec 900 000 victimes, la base de données constituée par les attaquants est une mine d’or pour l’espionnage industriel. En plus des chats IA, les extensions volaient également l’historique de navigation complet, offrant une vue imprenable sur la structure interne des entreprises victimes (via les URL d’intranets ou d’outils SaaS).
La riposte et l’hygiène numérique
Google a réagi en supprimant ces extensions du Store, mais le mal est fait pour ceux qui les ont encore installées. La désinstallation manuelle est impérative. Vérifiez immédiatement votre liste d’extensions (chrome://extensions) et supprimez tout outil suspect mentionnant DeepSeek ou ChatGPT qui ne proviendrait pas directement des éditeurs officiels.
L’avis de Just Tech
Cet incident met en lumière une faille structurelle de notre vie numérique moderne : le navigateur est devenu un système d’exploitation à part entière, mais nous le gérons avec la légèreté d’un simple afficheur de pages web. Le « Shadow IT » ne concerne plus seulement les logiciels installés sur votre PC, mais ces dizaines de petites extensions que nous accumulons sans réfléchir. Si nous confions les clés de notre cerveau numérique (nos conversations avec l’IA) à des développeurs tiers sans audit de sécurité, nous acceptons tacitement que nos pensées les plus intimes deviennent une marchandise. La question n’est plus de savoir si votre navigateur est sécurisé, mais si vous pouvez faire confiance à la myriade d’invités que vous y avez fait entrer.
