L'essentiel
- Deux extensions « VPN Go » (Chrome et Firefox) ont reçu une mise à jour qui espionne le presse-papiers.
- Tout contenu copié pouvait être récupéré : mots de passe, codes à usage unique, clés API, adresses de portefeuille crypto.
- Elles ont été signalées à Google et Mozilla pour retrait ; si vous les avez installées, changez vos identifiants copiés récemment.
Deux faux VPN qui lisaient le presse-papiers en continu
Les chercheurs de Socket, société spécialisée dans la sécurité de la chaîne logicielle, ont repéré deux extensions au comportement identique. Sur le Chrome Web Store, l'extension Chrome « VPN Go: Free VPN » comptait 146 utilisateurs ; sur les modules Firefox, l'extension Firefox « Free VPN by VPN GO » en revendiquait 3 499.
La bascule s'est faite en douceur. Les deux extensions ont d'abord fonctionné normalement, le temps de gagner la confiance de leurs utilisateurs. La fonction d'espionnage n'est arrivée que plus tard, avec la version 1.1 côté Chrome (publiée le 31 mai 2026) et la version 1.3.3 côté Firefox.
L'extension Chrome interrogeait le presse-papiers toutes les 500 millisecondes, la version Firefox toutes les 1,5 seconde, avant de transmettre les données collectées vers un serveur distant.
Pourquoi le presse-papiers vaut de l'or pour un attaquant
Nous utilisons le presse-papiers sans y prêter attention, et c'est précisément ce qui le rend dangereux. Chaque copier-coller peut contenir une donnée sensible, qu'une extension autorisée récupère en une fraction de seconde.
Une extension qui lit le presse-papiers en continu peut ainsi capter :
- un mot de passe copié depuis un gestionnaire (Bitwarden, 1Password, Dashlane) ;
- un code à usage unique (OTP) de double authentification ;
- un IBAN ou un numéro de carte bancaire ;
- une adresse ou une phrase de récupération de portefeuille crypto ;
- une clé API ou un jeton d'accès cloud ;
- une adresse e-mail ou un numéro de téléphone, matière première du phishing ciblé.
Si les attaquants visent ces contenus, c'est qu'ils ouvrent souvent un accès direct à un compte bancaire, une messagerie ou un portefeuille de cryptomonnaies, sans même avoir à compromettre l'appareil. Le presse-papiers ne fait aucun tri : il conserve la dernière chose copiée et la rend lisible par tout logiciel autorisé à y accéder.
Une extension de navigateur n'est pas un vrai VPN
Beaucoup d'utilisateurs croient installer un VPN complet alors qu'ils n'ajoutent qu'une extension de navigateur. La différence compte. Une application VPN installée sur l'appareil chiffre l'ensemble du trafic réseau : tout ce qui sort de la machine passe par le tunnel. Une extension de navigateur ne couvre que le trafic du navigateur, et elle réclame des permissions spécifiques (lire les données des pages, accéder au presse-papiers) qui peuvent être détournées par une mise à jour vérolée.
Une extension peut masquer votre adresse IP dans le navigateur, mais elle laisse à découvert tout le reste de vos applications :
- vos jeux et clients de discussion comme Steam ou Discord ;
- votre messagerie de bureau (Outlook, autres clients mail) ;
- vos outils de synchronisation cloud (Dropbox, sauvegardes) ;
- toute application qui communique en dehors du navigateur.
Le mot « gratuit » ajoute une inconnue. Certains services financent leur activité autrement que par un abonnement, ce qui peut les pousser à collecter davantage de données. D'autres, comme Proton VPN, Windscribe ou TunnelBear, proposent des offres gratuites sérieuses et transparentes. L'essentiel est de savoir qui édite réellement le service et si sa politique de confidentialité a été auditée, un point que nous détaillons dans notre guide des VPN gratuits et de leurs limites.
Un vrai VPN, lui non plus, ne vous protège pas contre son propre éditeur. C'est pourquoi une politique no-log réellement auditée par un cabinet indépendant compte davantage qu'un logo « sécurisé » affiché sur une fiche.
Que faire concrètement
- Supprimez immédiatement toute extension estampillée « VPN Go » de Chrome comme de Firefox.
- Passez en revue la liste de vos extensions installées et retirez celles que vous n'utilisez plus.
- Si l'une de ces extensions était présente, changez sans attendre les mots de passe et identifiants que vous avez pu copier récemment.
- Avant toute nouvelle installation, vérifiez les permissions réclamées par l'extension : Chrome comme Firefox précisent si elle peut lire les données des sites ou accéder au presse-papiers.
- Utilisez le remplissage automatique de votre gestionnaire de mots de passe plutôt que le copier-coller, qui court-circuite le presse-papiers.
- Privilégiez un service reconnu et régulièrement audité, comme ceux passés en revue dans notre guide d'achat, plutôt qu'une extension inconnue.
Un VPN gratuit et sérieux se reconnaît à sa transparence : juridiction affichée, audit no-log daté, éditeur identifiable. Avant d'installer quoi que ce soit, méfiez-vous des "solutions trop belles" pour être vrai !