De nombreux internautes utilisent un VPN1 pour se protéger en ligne.
Plusieurs prestataires proposent ce type de service, certains gratuitement, d'autres avec abonnement payant.
C'est le cas de UrbanVPN, un service gratuit, mais celui-ci dérobait2 les conversations entre ses clients et plusieurs plateformes d'IA comme ChatGPT pour les revendre.
Le scandale vient d'être révélé par Koi Security3, une société américaine opérant dans la cybersécurité.
Alors qu'il s'interrogeait sur la confidentialité de ses propres échanges avec Claude (IA), Idan Dardikman, expert chez Koi Security, a engagé une recherche d'extensions de navigateurs capables de récupérer les données des conversations avec les plateformes d'IA et découvert très rapidement que UrbanVPN siphonnait les données d'échanges de 6 000 000 d'utilisateurs !
Poursuivant l'analyse, les experts ont pu établir que, depuis le 9 juillet 2025, UrbanVPN a capté les données de plus de 8 millions d'utilisateurs de UrbanVPN et d'autres extensions de cet éditeur pour Chrome et Edge : 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker.
Les données collectées sont, VPN activé ou non :
- Chaque demande que vous envoyez à l'IA
- Chaque réponse que vous recevez de celle-ci
- Les identifiants de conversation et horodatages
- Les métadonnées de la session
- La plate-forme et le modèle d'IA spécifiques utilisés.
Les plateformes visées :
- ChatGPT
- Claude
- Gémeaux
- Copilote Microsoft
- Perplexité
- Seepprofond
- Grok (xAI)
- Méta-IA.
Des données susceptibles d'être hautement confidentielles et intimes du fait de l'usage grandissant des IA en qualité de « confidentes ».
S'il est vrai que UrbanVPN annonce en partie (mais de façon quasi dissimulée en CGU) la collecte de certaines données, les magasins d'applications (App Store et Google Play, notamment) n'évoquent aucune restriction à ce propos et, pire, Google marque ces extensions comme « vedette »4 avec des scores de 4,7/5 pour UrbanVPN, ce qui suppose une vérification de la part de Google alors que ce n'est manifestement pas le cas. Autant dire que la certification de Google est à considérer avec prudence !
Les internautes ayant installé ces extensions doivent les désinstaller.
Ceux qui ont conversé avec les IA listées ci-dessus doivent savoir que leurs échanges ont été dérobés.
De façon générale, il faut être très prudent et se renseigner avant d'installer une application ou extension, chercher dans les CGU et éléments de politique de confidentialité ce qu'il peut advenir de vos données et invalider toute pratique contraire au respect de celles-ci, à défaut de renoncer à l'installation.
Se souvenir également que ce qui est « gratuit » l'est rarement, en vérité. L'absence de mentions légales du site urban-vpn.com étant aussi un signe de danger.
1 Virtual Private Network. Mode connexion permettant de protéger l'utilisateur en cryptant ses données et en masquant son adresses IP. Cela permet de masquer l'activité de navigation, l'identité et l'emplacement, pour assurer une plus grande confidentialité.
2 Et semble continuer sans vergogne...
3 Source [EN].
4 "Featured".
