Vie privée en ligne : ces extensions de navigateur qui vous espionnent sans que vous le sachiez vraiment

Vous avez probablement installé des dizaines d’extensions sur votre navigateur sans trop y penser : un bloqueur de pubs ici, une extension de coupons de réduction là, un outil de productivité « indispensable » recommandé par un collègue… Et si certaines d’entre elles profitaient de votre confiance pour vous espionner discrètement ?

La plupart des internautes ont l’impression d’avoir « rien à cacher ». Mais entre les données de navigation, les achats en ligne, les recherches sensibles et les connexions à vos comptes, votre navigateur est une véritable mine d’or. Et certaines extensions ont appris à très bien l’exploiter.

Pourquoi les extensions sont si parfaites pour vous espionner

Quand vous installez une extension sur Chrome, Firefox, Edge ou Brave, vous lui accordez des permissions. Sauf que, soyons honnêtes, qui lit vraiment ces autorisations avant de cliquer sur « Ajouter à Chrome » ?

Problème : beaucoup d’extensions demandent un accès extrêmement large, du type « Lire et modifier toutes vos données sur les sites que vous visitez ». Traduction : elles peuvent voir tout ce que vous faites dans votre navigateur. Vraiment tout :

• Les sites que vous consultez
• Les produits que vous regardez ou achetez
• Les recherches que vous effectuez
• Les contenus des pages (articles, formulaires, discussions…)

C’est précisément ce qui rend ces outils si attirants pour les data brokers, les régies publicitaires et, parfois, des acteurs beaucoup moins avouables. Là où un simple cookie est limité à un site ou un domaine, une extension peut suivre l’ensemble de votre vie en ligne.

Des scandales bien réels, pas un scénario parano

On pourrait penser à une théorie du complot ou à de la paranoïa tech. Sauf que les scandales liés aux extensions espionnes s’enchaînent depuis des années.

Quelques exemples très concrets :

• DataSpii (2019) : une enquête a révélé que plusieurs extensions populaires (avec des millions d’installations) collectaient massivement les historiques de navigation des utilisateurs, y compris des URL internes d’entreprises, des documents privés et des infos sensibles. Ces données se sont retrouvées revendues à des sociétés tierces.
• Stylish : cette extension pour personnaliser l’apparence des sites web a été retirée de Firefox et Chrome lorsqu’on a découvert qu’elle envoyait l’historique de navigation complet des utilisateurs à des serveurs distants, à des fins d’analyse… sans vrai consentement éclairé.
• Extensions de coupons et cashback : plusieurs d’entre elles ont été prises la main dans le sac en train de traquer les visites sur les sites marchands, de suivre les comportements d’achat et de revendre ces données à des régies.

Dans la plupart des cas, les utilisateurs n’avaient aucune idée de ce qui se passait en coulisses. Le business model était enfoui dans des conditions générales opaques… ou tout simplement jamais vraiment expliqué.

Les types d’extensions à surveiller de très près

Toutes les extensions ne sont pas suspectes, loin de là. Mais certains types de services sont particulièrement « à risque » car ils reposent sur un modèle économique qui incite à la collecte de données.

Les catégories qui doivent vous mettre en alerte :

• Extensions de codes promo, cashback et comparateurs de prix : si c’est gratuit, il y a de fortes chances que le produit, ce soit vous. Ces outils doivent savoir sur quels sites e-commerce vous êtes pour fonctionner… et certains en profitent pour tout tracer.
• Extensions de « shopping intelligent » : recommandations de produits, alertes de baisse de prix, listes de souhaits universelles… Elles ont besoin de votre activité d’achat pour vous « aider », mais ce sont aussi des données marketing extrêmement précieuses.
• Outils de productivité trop gourmands : gestionnaires d’onglets, prises de notes, multi-messageries… Certaines extensions demandent l’accès à toutes vos pages pour proposer des fonctionnalités « pratiques ». Derrière, ce niveau d’accès peut être détourné.
• Extensions pour réseaux sociaux : analyse de profils LinkedIn, statistiques sur vos followers, automatisation d’actions… Elles peuvent aspirer beaucoup plus de données que ce que vous imaginez.
• Extensions de VPN ou de proxy douteux : un VPN sous forme d’extension de navigateur, « gratuit et illimité », est souvent une alerte rouge. Pour un service qui coûte cher à exploiter, il faut bien que quelqu’un paye.

À l’inverse, certaines catégories ont souvent (mais pas toujours) meilleure réputation : bloqueurs de publicité open source, gestionnaires de mots de passe sérieux, outils d’accessibilité, etc. Mais le critère le plus important reste : qui est derrière l’extension et comment se finance-t-elle réellement ?

Comment les extensions exploitent concrètement vos données

Il ne s’agit pas juste de « voir vos pages ». Les extensions malveillantes ou douteuses peuvent :

• Construire un profil publicitaire ultra-précis : vos centres d’intérêt, vos horaires de connexion, les sites que vous fréquentez, les thématiques sensibles (santé, sexualité, finances, politique…).
• Revendre vos historiques de navigation : à des data brokers qui les agrègent avec d’autres sources (applis mobiles, achats en ligne, bases marketing). Résultat : un portrait très fin de votre comportement.
• Observer des contextes professionnels : si vous utilisez ces extensions au travail, elles peuvent collecter des infos sur les outils internes de votre entreprise, vos clients, voire des documents sensibles accessibles via navigateur.
• Ajouter ou modifier des contenus sur les pages : par exemple, injecter des publicités supplémentaires, changer des liens d’affiliation, ou insérer du tracking invisible dans les pages que vous consultez.

Dans les cas extrêmes (mais réels), certaines extensions ont été utilisées pour :

• Voler des sessions de connexion (cookies) pour accéder à vos comptes
• Détourner discrètement des paiements en modifiant un IBAN ou une adresse crypto
• Afficher des faux formulaires de connexion imitant des sites connus

On est loin du simple « suivi publicitaire ». On touche à des risques de fraude, de fuite de données et de sécurité pure.

Quand une extension « propre » bascule du mauvais côté

Le plus inquiétant, c’est que même une extension que vous jugez sûre aujourd’hui peut devenir problématique demain.

Deux scénarios fréquents :

• Le rachat par une société peu scrupuleuse : un développeur indépendant crée une extension utile, gratuite, qui cartonne. Après quelques centaines de milliers d’utilisateurs, une entreprise lui propose de la racheter. Une fois l’extension dans de nouvelles mains, une mise à jour modifie silencieusement les pratiques : plus de tracking, collecte de données, nouveaux scripts… L’utilisateur, lui, ne voit qu’un banal « Mise à jour effectuée ».
• La monétisation agressive après le succès : même sans rachat, certains développeurs finissent par intégrer des SDK publicitaires ou des systèmes d’analytics très intrusifs pour rentabiliser leur projet.

Autrement dit : avoir vérifié une extension au moment de l’installation ne garantit pas qu’elle restera saine dans la durée. D’où l’intérêt de faire régulièrement un audit de ce qui tourne dans votre navigateur.

Reconnaître les signaux d’alerte avant d’installer

Il n’existe pas de recette magique, mais quelques réflexes permettent déjà de filtrer les cas les plus problématiques.

Avant d’installer une extension, posez-vous ces questions :

• Les permissions demandées sont-elles cohérentes avec la fonction ? Un outil censé uniquement changer le thème de votre page d’accueil n’a aucune bonne raison d’accéder à « toutes les pages que vous visitez ».
• Qui l’édite ? Un développeur identifiable, une entreprise connue, un projet open source transparent… ou une « boîte » inconnue, sans site sérieux ni mentions légales claires ?
• Les avis récents ont-ils changé de ton ? Une extension très bien notée depuis des années, mais avec une vague récente de commentaires négatifs parlant de pubs ou de comportements suspects : c’est souvent le signe d’un changement de propriétaire ou de politique.
• Depuis quand l’extension n’a pas été mise à jour ? Une extension abandonnée peut présenter des failles de sécurité. À l’inverse, des mises à jour très fréquentes après un rachat peuvent cacher des changements agressifs.
• Le modèle économique est-il crédible ? Un service qui coûte clairement en infrastructures (VPN, sauvegarde de fichiers, IA, etc.) mais qui est 100 % gratuit sans transparence sur son financement doit éveiller la méfiance.

Ce n’est pas infaillible, mais ces filtres éliminent déjà une partie des extensions les plus douteuses.

Comment faire le ménage dans vos extensions actuelles

Si vous utilisez le même navigateur depuis des années, il y a de fortes chances que vous ayez accumulé tout un musée d’extensions dont vous avez oublié l’existence. C’est le moment de faire un tri radical.

Étapes recommandées :

• 1. Listez toutes vos extensions : allez dans les paramètres de votre navigateur (Chrome, Firefox, Edge, Brave…) et affichez la liste complète. Vous serez peut-être surpris par le nombre.
• 2. Désinstallez tout ce qui ne sert plus : si vous ne savez même plus à quoi sert une extension, elle n’a rien à faire là. « Au cas où » n’est pas un argument de sécurité acceptable.
• 3. Vérifiez les plus sensibles : pour celles que vous gardez, regardez :
  • Les permissions qu’elles demandent
  • La date de dernière mise à jour
  • Les commentaires récents sur le store
  • Le site officiel ou la page GitHub, s’il existe
• 4. Remplacez par des alternatives plus sûres si besoin : par exemple, un bloqueur de pubs opaque peut être remplacé par une alternative open source reconnue.
• 5. Répétez ce check de temps en temps : un petit audit tous les 6 à 12 mois suffit, mais il peut vous éviter de mauvaises surprises.

Astuce : sur certains navigateurs, vous pouvez aussi désactiver temporairement une extension au lieu de la désinstaller, pour vérifier si elle vous est vraiment indispensable.

Des réflexes simples pour limiter les dégâts

On ne va pas vous dire de vivre sans aucune extension. Beaucoup d’entre elles améliorent réellement l’expérience web et la sécurité. L’enjeu, c’est de reprendre la main.

Quelques bonnes pratiques à adopter :

• Moins, c’est mieux : chaque extension est une porte d’entrée potentielle. En avoir 30, c’est multiplier les risques. Essayez de vous limiter aux quelques outils vraiment essentiels.
• Privilégiez les projets transparents : open source, documentés, avec un site clair et une politique de confidentialité lisible (pas parfaite, mais compréhensible).
• Évitez les doublons : 3 extensions de shopping, 2 de VPN, 4 de prise de notes… Plus il y a de redondance, plus le risque augmente sans bénéfice réel.
• Séparez vos usages sensibles : pour certaines activités (banque, administration, santé), utilisez éventuellement un autre navigateur ou un profil sans extension.
• Sur mobile, soyez encore plus strict : les navigateurs mobiles supportent de plus en plus d’extensions, mais les protections et interfaces de contrôle y sont souvent moins robustes.

La logique est la même que pour les applications installées sur votre smartphone : chaque élément de votre « stack » numérique doit mériter sa place.

Et les navigateurs dans tout ça, ils font quoi ?

Les éditeurs de navigateurs ne sont pas complètement passifs. Chrome, Firefox, Edge et les autres ont renforcé ces dernières années :

• Les contrôles avant publication sur leurs stores d’extensions
• Les permissions granulaires, qui théoriquement limitent ce que peut faire une extension
• Les mécanismes de blocage à distance en cas de découverte d’un comportement malveillant

Google a par exemple introduit Manifest V3, une nouvelle version du système d’extensions de Chrome censée mieux encadrer ce que peuvent faire les développeurs (même si cela a fait grincer des dents du côté de certains bloqueurs de pub).

Mais ces protections ont deux limites majeures :

• Elles ne détectent pas forcément la collecte « légale » mais abusive de données, si elle est mentionnée quelque part dans une politique de confidentialité obscure.
• Elles interviennent souvent après coup, une fois que des chercheurs ou des journalistes ont tiré la sonnette d’alarme.

Autrement dit : les stores ne sont pas un label de confiance absolu. Ils filtrent les pires comportements, mais la zone grise reste énorme.

Reprendre le contrôle, sans devenir parano

La bonne nouvelle, c’est que vous n’avez pas besoin d’être expert en cybersécurité pour réduire drastiquement les risques :

• Faites un grand ménage dans vos extensions.
• Refusez par principe toutes celles qui demandent des permissions disproportionnées.
• Restez attentif aux avis, aux mises à jour et aux rachats annoncés.
• Réservez un environnement de navigation « propre » pour les usages critiques.

Votre navigateur est l’un des outils les plus centraux de votre vie numérique. Laisser n’importe quelle extension y installer son petit script, c’est comme donner les clés de votre appartement à tous les livreurs qui sonnent à votre porte, « au cas où ».

Installer une extension devrait redevenir un acte réfléchi, pas un réflexe automatique. La prochaine fois qu’un site vous propose d’ajouter un plugin « pour une meilleure expérience », demandez-vous : meilleure expérience pour qui, exactement ?