Les extensions de navigateur dopées à l'IA sont-elles sûres ?
Ça dépend : beaucoup demandent l'accès à tous vos sites, et certaines ont volé des données. Les permissions à surveiller et la parade qui tient vraiment.
Ça dépend de l'extension. Les extensions IA peuvent être sûres, mais la catégorie est plus risquée que la moyenne. Beaucoup réclament un accès très large. Et certaines ont déjà été prises à voler des données. Le risque tient à trois choses : les permissions demandées, l'éditeur, et le fait qu'elle envoie ou non le contenu de vos pages vers des serveurs tiers. Le bon réflexe tient en trois gestes. N'accordez que le minimum de permissions. Ne faites jamais confiance à une extension sur une page sensible, comme votre messagerie ou votre banque. Et anonymisez ce que vous confiez à une IA.
Pourquoi ces extensions voient (presque) tout
La plupart des assistants IA demandent une permission énorme. Son nom : « lire et modifier vos données sur tous les sites que vous consultez ». En clair, l'extension peut lire et changer tout ce qui s'affiche sur chaque page que vous ouvrez. Vos e-mails. Votre banque. Vos outils internes.
Google classe cet accès comme sa permission la plus risquée. Lire ou modifier vos données sur tous les sites (y compris banque et réseaux sociaux) est jugé à risque moyen à élevé. Google précise aussi qu'un avertissement de permission « ne veut pas dire que l'appli est dangereuse, juste qu'elle peut l'être ». C'est le cœur du problème. Vous ne pouvez pas savoir, à l'installation, ce qu'elle fera vraiment de cet accès.
Des cas réels : quand l'extension IA vole vos données
Ce n'est pas un risque théorique. En janvier 2026, des chercheurs en sécurité d'OX Security ont révélé deux extensions Chrome malveillantes qui se faisaient passer pour des assistants IA. À elles deux, elles totalisaient environ 900 000 installations. Leurs noms évoquaient ChatGPT, Claude et DeepSeek. L'utilisateur acceptait un accès présenté comme « analytique anonyme et non identifiable ». Les extensions volaient alors l'historique complet des conversations IA, les URL des onglets ouverts, l'activité de navigation et les données de session active. Tout partait vers des serveurs pilotés par les attaquants.
Le mécanisme est précis. Les données capturées étaient stockées en local, puis encodées en Base64 et envoyées par lots (toutes les 30 minutes environ) vers les serveurs des attaquants. Chaque navigateur infecté recevait un identifiant unique. Les opérateurs pouvaient ainsi recouper les conversations et bâtir un profil détaillé de chaque victime dans le temps. The Hacker News a lui aussi rapporté cette campagne visant 900 000 utilisateurs.
Autre danger : une extension de confiance peut devenir malveillante après l'installation. C'est l'incident Cyberhaven de décembre 2024. Une attaque par phishing a compromis les identifiants d'un développeur. Les attaquants ont alors publié une mise à jour piégée d'une extension Chrome légitime. La version trafiquée volait les cookies et les sessions authentifiées de sites ciblés. La même campagne aurait touché plus de 30 autres extensions, affectant des millions d'utilisateurs. La leçon est claire : une mise à jour automatique silencieuse, un rachat, ou un vol de compte peuvent transformer en arme un logiciel que vous aviez déjà validé.
La recherche Unit 42 de Palo Alto Networks va dans le même sens. Une extension qui rédige vos e-mails ou résume vos pages doit d'abord lire ce contenu. Et un accès large au navigateur peut exposer des identifiants et des données de session sensibles. Unit 42 a signalé 18 extensions à haut risque à Google, qui les a retirées ou a averti leurs propriétaires. Détail inquiétant : plusieurs échantillons contenaient du code généré par IA. Les attaquants se servent donc des modèles pour produire des extensions malveillantes plus vite et en masse.
Vérifier avant d'installer, et limiter les permissions
Vous pouvez réduire fortement le risque en quelques vérifications simples avant d'installer :
- 1Vérifiez que les permissions demandées collent à la fonction annoncée. Un outil qui n'agit que sur la page courante ne doit pas réclamer l'accès à tous les sites.
- 2Vérifiez l'identité de l'éditeur. Préférez le store officiel du navigateur aux téléchargements tiers.
- 3Lisez les avis récents et regardez le nombre d'installations et l'historique des mises à jour.
- 4Lisez la politique de confidentialité : le contenu de vos pages est-il envoyé vers des serveurs externes ?
- 5Dans Chrome, ouvrez chrome://extensions puis Détails → Accès au site, et passez sur « En cas de clic » ou des sites précis plutôt que « Sur tous les sites ».
Les permissions à traiter comme les plus risquées
Certaines demandes méritent une vigilance particulière. Voici ce qu'elles ouvrent vraiment :
| Permission demandée | Ce qu'elle permet vraiment |
|---|---|
| Accès à tous les sites | Lit chaque page que vous ouvrez, y compris mail et banque |
| Lecture des cookies / sessions | Peut détourner vos comptes déjà connectés |
| Messagerie native | Peut lancer des programmes sur votre appareil |
| Contrôle du proxy | Peut router tout votre trafic via un tiers |
Face à ces permissions, appliquez toujours le moindre privilège. Et gardez quelques réflexes concrets au quotidien :
- Ne faites jamais confiance à une extension sur une page sensible : mail, banque, outils internes ou d'entreprise.
- Restreignez l'accès site par site plutôt que d'accorder « tous les sites ».
- Supprimez les extensions que vous n'utilisez plus.
- Considérez que tout ce que vous collez dans une IA peut être vu par un intermédiaire.
C'est précisément le rôle d'ONYRI Sanitize. Le moteur remplace les données sensibles par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint l'outil. Qu'une extension lise la page ou qu'un serveur tiers capte le contenu, il n'y trouve que des jetons — pas vos informations réelles.
Questions fréquentes
- Les extensions de navigateur dopées à l'IA sont-elles sûres ?
- Ça dépend. Elles peuvent être sûres, mais la catégorie est plus risquée que la moyenne : beaucoup demandent l'accès à tous vos sites et certaines ont volé des données. Le bon défaut est d'accorder le minimum de permissions et de ne jamais faire confiance à une extension sur une page sensible comme le mail ou la banque.
- Comment vérifier si une extension IA est fiable ?
- Vérifiez que les permissions collent à la fonction annoncée, contrôlez l'identité de l'éditeur, lisez les avis récents et l'historique des mises à jour, et vérifiez si la politique de confidentialité mentionne l'envoi du contenu des pages vers des serveurs externes. Dans Chrome, limitez l'accès au site via chrome://extensions.
- Une extension de confiance peut-elle devenir dangereuse ?
- Oui. Une mise à jour automatique piégée, un vol de compte développeur ou un rachat peuvent transformer en arme une extension que vous aviez validée. L'incident Cyberhaven de décembre 2024 l'a montré : une mise à jour trafiquée a volé cookies et sessions authentifiées.
Sources et références
- Explication officielle de Google sur les niveaux de risque des permissions d'extensions Chrome, dont « lire et modifier toutes vos données » — Google Chrome Web Store Help
- Recherche Unit 42 : extensions IA à haut risque qui lisent le contenu des pages et exposent des identifiants ; 18 extensions signalées à Google — Palo Alto Networks Unit 42
- Rapport sur la campagne à ~900 000 utilisateurs où des extensions Chrome IA ont volé historiques de chat, onglets et données de session — eSecurity Planet
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt