Attention aux extensions d'intelligence artificielle : quelle est la seule à ne pas collecter de données personnelles ?

Une étude de l'University College London a révélé que les extensions de navigateur basées sur l'intelligence artificielle (IA) les plus populaires stockent des informations personnelles, de l'historique de navigation aux données médicales ou bancaires . Il existe toutefois une exception.

Les chercheurs ont souligné que ces pratiques se produisent silencieusement, sans que l'utilisateur puisse les remarquer lors de l'installation des extensions . Bien que des conditions générales existent souvent, elles sont souvent formulées de manière opaque et ne reflètent pas clairement la portée de la collecte de données.

Le rapport s'ajoute à une série d'avertissements émis par des spécialistes de la cybersécurité et de la protection des données en Europe et aux États-Unis : l'intelligence artificielle, dans sa quête d'offrir davantage d'« intelligence contextuelle », finit par devoir absorber des informations sur les activités en ligne des utilisateurs, ce qui ouvre la porte à des usages opaques .

Les extensions d'intelligence artificielle pour Chrome, Edge et autres navigateurs ont gagné en popularité ces derniers mois. Des outils comme ChatGPT, Copilot, Merlin et Monica proposent une assistance à la recherche, des résumés automatiques et des réponses immédiates.

Il convient de rappeler que les extensions sont de petits programmes installés dans votre navigateur pour ajouter des fonctionnalités supplémentaires : du blocage des publicités à la traduction de pages ou, dans ce cas, à l'intégration de l'intelligence artificielle directement dans votre expérience de navigation .

Pour fonctionner, ils nécessitent souvent des autorisations d'accès étendues au contenu que vous voyez sur votre écran, et c'est précisément dans ce domaine que les plus grandes préoccupations en matière de confidentialité se posent.

Cependant, ce qui est présenté comme un gain de productivité a un coût invisible : la perte de contrôle sur la confidentialité. Pour fonctionner, nombre de ces extensions demandent des autorisations étendues au navigateur, puis les exploitent à outrance, accédant à plus d'informations que nécessaire pour remplir leur fonction principale.

Selon les experts, cela signifie que quelqu’un qui essaie simplement de résumer un texte académique ou de traduire un document pourrait involontairement exposer tout ce qu’il a ouvert dans son navigateur : des courriels personnels aux comptes bancaires en passant par les dossiers médicaux.

La facilité d'installation de ces extensions contribue également au problème. Contrairement aux applications traditionnelles, les extensions de navigateur ne sont pas toujours soumises à des audits rigoureux dans les boutiques officielles, ce qui laisse la porte ouverte à des pratiques abusives de traitement des données.

Parmi les cas les plus notables, l'extension Merlin a même capturé des données issues de formulaires en ligne, telles que des informations financières ou médicales. Sider et TinaMind, quant à eux, ont partagé les requêtes et les adresses IP des utilisateurs avec des plateformes externes comme Google Analytics, permettant ainsi le suivi des publicités intersites.

L'enquête a également révélé que certains de ces modules complémentaires combinaient des informations sensibles avec des identifiants persistants. Cela signifie que les données pourraient être associées au même profil utilisateur au fil du temps, multipliant ainsi le risque d'exposition en cas de fuite ou de vente à des tiers.

ChatGPT pour Chrome, Copilot de Microsoft et Monica ont été signalés pour avoir enregistré des attributs tels que l'âge, le sexe, les revenus et les centres d'intérêt, données qu'ils ont ensuite utilisées pour personnaliser les réponses lors des différentes sessions de navigation. Selon les chercheurs, cette pratique montre comment la logique de la publicité ciblée commence à s'infiltrer dans l'écosystème de l'IA.

« Ces assistants offrent un accès sans précédent au comportement en ligne des utilisateurs dans des domaines de leur vie qui devraient rester privés », explique Anna Maria Mandalari, chercheuse principale à l'UCL.

Le spécialiste a averti que la normalisation de ces pratiques pourrait finir par éroder la confiance du public dans les outils d’IA, même ceux qui respectent les réglementations en matière de confidentialité.

L'étude n'a identifié qu'un seul cas sans preuve de collecte abusive de données : l'extension Perplexity AI . Selon le rapport, ce service n'a présenté aucune pratique impliquant la transmission d'informations sensibles ou le suivi caché des utilisateurs.

Les chercheurs ont noté que, du moins dans leurs tests, Perplexity a simplement fourni des résultats de recherche sans capturer plus d’informations que strictement nécessaire.

Cela ne signifie pas pour autant que Perplexity soit à l'abri des critiques. Certains experts soulignent que l'absence de pratiques abusives dans cette étude ne garantit pas qu'elles ne se reproduiront pas à l'avenir, étant donné que les politiques de confidentialité et les modèles économiques des entreprises technologiques évoluent rapidement.

Pour Mandalari, le problème va au-delà de la publicité ciblée : « Une fois les informations collectées, nous ne savons pas où elles finiront ni si elles finiront entre les mains de réseaux illicites qui utiliseront nos identifiants pour commettre des crimes. »

Selon lui, le manque de transparence et la complexité technique font qu’il est presque impossible pour un utilisateur moyen de comprendre ce qui arrive à ses données dans ces environnements.

L’étude remet au premier plan le débat sur la confidentialité numérique et la transparence, dans un contexte où de plus en plus d’outils d’IA sont intégrés dans la vie quotidienne à un prix difficilement mesurable : nos données personnelles.

Pour les chercheurs, la solution réside dans une réglementation plus stricte, des audits indépendants et, surtout, une information claire des utilisateurs sur les risques des technologies qu’ils adoptent.