Quand votre VPN se transforme en outil d’espionnage

UrbanVPN Proxy, l’un des services de protection en ligne les plus connus, s’est finalement révélé n’être qu’une vaste tromperie, exploitée par ses créateurs pour détourner illicitement les informations personnelles de millions d’internautes. 

L’aphorisme selon lequel « si c’est gratuit, c’est vous le produit » n’a jamais trouvé meilleure illustration dans l’univers des VPN. Ces outils, censés garantir une navigation sécurisée et confidentielle en redirigeant le trafic internet via des serveurs distants, promettent à l’utilisateur anonymat et tranquillité sur le web.

C’est du moins l’engagement affiché par des services comme UrbanVPN Proxy, l’un des plus populaires du marché. Or, derrière cette réputation flatteuse – une extension Chrome revendiquant plus de six millions d’utilisateurs et une note moyenne de 4,7 sur 5 – se cache en réalité une vaste opération d’espionnage de masse.

Des chercheurs de la firme de cybersécurité Koi ont effet découvert que ce VPN capture subrepticement les échanges de millions d’internautes avec des assistants d’intelligence artificielle tels que ChatGPT, Copilot, Gemini, Perplexity, DeepSeek, Grok ou encore Meta AI.

Une mise à jour trompeuse

L’alerte a été déclenchée après une mise à jour récente déployée par Urban Cyber Security Inc., société basée dans le Delaware et éditrice d’UrbanVPN. Publiée le 9 juillet 2025, cette version introduisait une prétendue fonctionnalité de « protection IA », censée prévenir les partages de données sensibles avec des chatbots.

En réalité, cette mise à jour activait par défaut un système invisible de collecte de données. Les chercheurs ont mis en évidence des paramètres codés en dur permettant à l’extension d’intercepter systématiquement les interactions des utilisateurs avec différentes plateformes d’intelligence artificielle.

Concrètement, l’outil enregistre aussi bien les requêtes adressées aux chatbots que leurs réponses, capturant ainsi l’intégralité des conversations.

Un pop-up demande bien à l’utilisateur d’autoriser ou non le traitement de ses « communications ChatAI », mais sans jamais préciser que ces données pourront être revendues à des tiers. Cette information cruciale n’apparaît que dans la politique de confidentialité, rédigée dans un jargon juridique opaque et difficile à comprendre pour le grand public.

Une arnaque d’envergure

La lecture de ce document révèle que l’extension collecte les requêtes et réponses générées par les chatbots et que ses concepteurs se réservent le droit de les transmettre à des tiers « à des fins d’analyse marketing ».

« Toute personne ayant utilisé ChatGPT, Claude, Gemini ou tout autre service concerné après le 9 juillet 2025, alors qu’Urban VPN était activé, devrait présumer que ses échanges figurent désormais sur les serveurs d’Urban VPN et ont potentiellement été partagés », avertit Koi. Leur enquête révèle d’ailleurs que huit extensions de VPN populaires sur Chrome et Edge sont compromises.

« Toutes arborent des badges “En vedette” dans leurs boutiques respectives, à l’exception d’Urban Ad Blocker sur Edge. Ces distinctions sont censées garantir qu’elles respectent les standards de qualité exigés par les plateformes. Pour beaucoup d’utilisateurs, ce badge constitue un gage de confiance et influence leur décision d’installation. Il s’agit donc d’une forme d’approbation implicite de la part de Google et Microsoft », précisent les chercheurs.