Des chercheurs ont découvert que l’extension Chrome FreeVPN.One espionne secrètement les utilisateurs.
FreeVPN.One, une extension VPN populaire pour Google Chrome avec plus de 100 000 installations, s’avère espionner secrètement les utilisateurs, ont remarqué des chercheurs de la société de sécurité Koi Security. Malgré un badge vérifié (qui donne aux utilisateurs un sentiment de confiance) et un placement proéminent dans le Chrome Web Store, l’extension prend des captures d’écran des sites web visités. Ensuite, ces captures d’écran sont envoyées à des serveurs externes, à l’insu des utilisateurs.
Captures d’écran invisibles
L’extension installe un script qui est automatiquement injecté sur chaque site web. Peu de temps après le chargement d’une page, le script déclenche un appel interne pour faire une capture d’écran de l’onglet actif. Cette image est ensuite envoyée, avec des informations telles que l’URL et un identifiant d’utilisateur unique, à un serveur externe via le domaine aitd.one.
Les utilisateurs ne reçoivent à aucun moment un avertissement ou un signal visuel indiquant que cela se produit. De plus, les captures d’écran ne sont pas seulement collectées lorsque les utilisateurs activent la fonction « Analyser avec AI Threat Detection », mais bien plus tôt, à chaque visite de site web. Cela signifie que des informations sensibles telles que des données bancaires, des photos privées et des documents d’entreprise peuvent être enregistrées.
Mécanismes de contrôle
FreeVPN.One est resté actif pendant des années dans le Chrome Web Store sans que le comportement malveillant ne soit remarqué. L’espionnage a probablement commencé dans la version 3.1.3, qui a été déployée le 17 juillet 2025. C’est alors que le mécanisme de capture d’écran a été activé et que l’exfiltration de données vers aitd.one a commencé. Quelques semaines plus tard, dans la version 3.1.4, le cryptage a été ajouté et le trafic a été redirigé vers un nouveau sous-domaine afin de compliquer davantage la détection.
Selon ses dires, Google effectue des contrôles automatisés et manuels sur les extensions dans le Chrome Web Store. Dans ce cas, ces contrôles se sont avérés insuffisants. Malgré le changement radical dans le comportement de l’extension, FreeVPN.One est resté vérifié et bien visible pour les nouveaux utilisateurs.