Deux extensions VPN gratuites sur Chrome et Firefox ne protègent pas vos mots de passe.
Deux extensions VPN, « VPN Go », ont été repérées par les chercheurs de Socket sur le Chrome Web Store et les modules Firefox, volant discrètement le contenu du presse-papiers des utilisateurs. La version Chrome, publiée le 22 décembre 2025, ne contenait pas la fonction de vol, qui est apparue avec la version 1.1 fin mai 2026.

Une extension VPN gratuite qui fonctionne réellement peut sembler digne de confiance, mais c’est justement là le piège. Des chercheurs en sécurité de la société Socket ont découvert deux extensions commercialisées sous la marque « VPN Go », l’une sur le Chrome Web Store et l’autre sur les modules Firefox, qui siphonnaient discrètement le contenu du presse-papiers de leurs utilisateurs.
Le presse-papiers est un espace de mémoire temporaire où est stocké tout ce que vous copiez : un lien, un texte, mais également un mot de passe ou un code de connexion. Les deux extensions fonctionnaient correctement comme un proxy, permettant de masquer votre adresse IP en faisant passer votre trafic par un serveur intermédiaire. En arrière-plan, elles montraient une surveillance constante du presse-papiers et transmettaient les données copiées vers un serveur contrôlé par l’attaquant.
Une menace introduite par une mise à jour
Le plus insidieux est la méthode employée. Selon Socket, la fonctionnalité de vol n’existait pas à l’origine. La version Chrome, lancée le 22 décembre 2025, se comportait en tant que simple proxy. La partie malveillante n’est apparue qu’avec la version 1.1, à la fin du mois de mai 2026, après que l’extension avait déjà constitué une base d’utilisateurs qui lui faisaient confiance. En d’autres termes, on installe un outil apparemment inoffensif, et le piège se déclenche plusieurs mois plus tard sans intervention de l’utilisateur.
Une fois active, la surveillance est incessante. La version Chrome inspecte le presse-papiers environ toutes les demi-secondes, tandis que la version Firefox le fait toutes les 1,5 secondes. Chaque texte copié est transmis en HTTP sans chiffrement vers l’infrastructure des pirates. Cela se produit alors que la politique de confidentialité des extensions affirmait ne collecter aucune donnée. Au moment de l’enquête, la version Chrome comptait 146 utilisateurs et la version Firefox environ 3 500. Les deux extensions ont depuis été retirées de leurs boutiques respectives.
Un problème sérieux
Copier-coller un mot de passe ne doit pas être considéré comme une négligence : les gestionnaires de mots de passe s’appuient sur cette fonctionnalité. Une extension capable de lire le presse-papiers peut donc récupérer toutes les informations : identifiants, codes d’authentification, clés d’API, phrases de récupération de portefeuilles de cryptomonnaies. Elle n’a qu’à attendre le bon moment. Si vous avez utilisé l’une de ces deux extensions, considérez que tout ce que vous avez copié durant cette période est potentiellement compromis. Il est donc recommandé de changer les mots de passe sensibles concernés.
Pour aller plus loin
Quels sont les meilleurs gestionnaires de mots de passe en 2026 ?
Ce cas n’est pas isolé. Socket a également identifié une campagne regroupant 108 extensions Chrome malveillantes liées à une même infrastructure, totalisant environ 20 000 installations. Le conseil reste le même à chaque fois : pour un VPN gratuit sur navigateur, il est préférable de se tourner vers un service reconnu et audité plutôt qu’une extension inconnue prétendant offrir un accès illimité sans frais. Comme c’est souvent le cas avec les produits gratuits, c’est vous qui devenez le produit.
