Un chercheur en sécurité vient de lever le voile sur un écosystème parallèle inquiétant au cœur du Chrome Web Store. 287 extensions, totalisant 37,4 millions d'installations, exfiltrent massivement l'historique de navigation de leurs utilisateurs vers plus de 30 destinataires, dont des courtiers en données comme Similarweb, Semrush et Big Star Labs. Cette découverte ravive le débat sur la monétisation opaque des extensions de navigateur et les limites du contrôle exercé par Google sur son écosystème et intervient seulement deux mois après que des chercheurs ont découvert que 4,3 millions d'utilisateurs se sont fait piéger par des extensions « légitimes ».Le chercheur anonyme "Q Continuum", en référence à Star Trek, a publié un rapport détaillé dévoilant une réalité préoccupante : des centaines d'extensions Chrome apparemment inoffensives — gestionnaires de mots de passe, bloqueurs de publicités, outils de productivité — opèrent en réalité comme des mouchards numériques sophistiqués. Ces extensions collectent l'intégralité de l'historique de navigation de leurs utilisateurs et le transmettent à des tiers, souvent à l'insu des personnes concernées.
L'ampleur du phénomène est vertigineuse. Avec 37,4 millions d'installations cumulées, ces extensions touchent potentiellement une population équivalente à celle de la Pologne. Pour environ 20 millions de ces installations, l'entité collectrice demeure inconnue, ce qui laisse présager une face immergée bien plus importante de cet iceberg numérique.
Le modus operandi de ces extensions suit un schéma désormais classique dans l'économie de la surveillance : elles se présentent comme des utilitaires pratiques répondant à des besoins légitimes, demandent des permissions apparemment justifiées, puis exploitent ces accès pour collecter bien plus que nécessaire. L'historique de navigation constitue une mine d'or informationnelle révélant les centres d'intérêt, les habitudes, la santé, les opinions politiques et même l'identité des utilisateurs.
Une méthodologie de détection innovante
Pour identifier ces extensions malveillantes, Q Continuum a développé un système de test automatisé particulièrement ingénieux. Basé sur Docker et Chromium, ce système utilise un proxy man-in-the-middle (MITM) qui exécute des scénarios de navigation synthétiques tout en surveillant le trafic réseau sortant. En corrélant les requêtes HTTP avec les URLs visitées, le chercheur peut détecter avec précision quelles extensions fuient l'historique de navigation.
Cette approche s'inspire des travaux académiques publiés en 2017 par Michael Weissbacher et ses collègues dans leur étude Ex-Ray: Detection of History-Leaking Browser Extensions. La différence majeure réside dans l'échelle et l'automatisation : le pipeline de test de Q Continuum peut analyser des centaines d'extensions de manière systématique, révélant ainsi des patterns à grande échelle invisibles lors d'analyses manuelles.
Les résultats sont sans appel : plus de 30 entreprises ont été identifiées comme destinataires de ces données. Parmi elles figurent des acteurs majeurs de l'analyse web comme Similarweb, des géants technologiques asiatiques tels qu'Alibaba Group et ByteDance, ainsi que des sociétés d'analyse de trafic comme Semrush. Pour environ la moitié des installations concernées, l'identité du collecteur reste mystérieuse, suggérant des réseaux de collecte de données encore plus opaques.
Similarweb : entre légalité et éthique douteuse
Le rapport de Q Continuum place Similarweb au centre de cette problématique. Cette entreprise israélienne spécialisée dans l'analyse de trafic web construit une partie de son modèle économique sur la collecte de données via des extensions de navigateur. Sa politique de confidentialité mentionne explicitement cette pratique, mais dans des termes suffisamment obscurs pour que la plupart des utilisateurs n'en saisissent pas les implications réelles.
Similarweb affirme anonymiser les données collectées côté client et exclure les informations personnellement identifiables. Pourtant, la même politique reconnaît paradoxalement que « certaines de ces données peuvent inclure des données personnelles et sensibles selon les recherches effectuées et le contenu consulté ». Cette contradiction apparente illustre la zone grise juridique dans laquelle évoluent ces pratiques.
Les données d'historique de navigation, même prétendument anonymisées, peuvent souvent être réattribuées à des individus spécifiques. Des recherches académiques ont démontré qu'en croisant l'historique de navigation avec des profils publics sur les réseaux sociaux, il devient possible d'identifier les personnes derrière les données. L'anonymisation promise par ces entreprises s'avère donc souvent illusoire face aux techniques modernes de ré-identification.
La dépendance de Similarweb à ces sources de données apparaît clairement dans ses documents financiers. Un dépôt auprès de la SEC datant de février 2025 stipule : « Notre plateforme et nos solutions dépendent en partie de la capacité à obtenir des données depuis notre réseau contributif via des extensions de navigateur, des applications mobiles et d'autres produits distribués par des plateformes tierces comme le Chrome Web Store, Google Play et l'App Store d'Apple ». Cette phrase révèle à quel point le modèle économique de l'entreprise repose sur cette surveillance diffuse.
Le dilemme de Google face aux extensions malveillantes
Le Chrome Web Store dispose théoriquement d'une politique d'utilisation limitée (Limited Use policy) censée empêcher le partage de données avec des courtiers en données. Mais cette politique comporte une exception exploitable par des entreprises peu scrupuleuses. Le résultat : des extensions violent l'esprit de cette règle tout en respectant formellement sa lettre.
Cette situation n'est pas nouvelle. En décembre 2025, plusieurs extensions de blocage de publicités et de VPN avaient été surprises en train de capturer des conversations avec des chatbots IA. En mars 2025, une étude révélait que des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
