Une enquête menée par les chercheurs de Koi Security révèle une opération de surveillance sophistiquée et silencieuse, dissimulée derrière une promesse de sécurité.
Disponible depuis 2020, FreeVPN.One cochait toutes les cases de la fiabilité : note correcte, badge “Vérifié”, label “Recommandé” par Chrome. Pour de nombreux internautes, c’était une solution simple, rapide et gratuite pour sécuriser leur navigation. Mais en coulisses, dès l’ouverture d’un onglet, l’extension capturait discrètement une image de l’écran qu’elle transmettait ensuite à des serveurs contrôlés par le développeur.
Une mécanique d’espionnage bien huilée
À chaque chargement de page, un script s’active. Il attend 1,1 seconde, le temps que le contenu soit bien visible, puis déclenche une capture silencieuse via l’API captureVisibleTab() de Chrome. L’image, accompagnée de l’URL visitée, de l’identifiant d’onglet et d’un identifiant unique de l’utilisateur, est ensuite envoyée à l’adresse aitd.one/brange.php, sans aucune action ni alerte.
L’extension repose sur une architecture en deux temps : un script de contenu injecté dans chaque site HTTP ou HTTPS visité et un service worker en arrière-plan, chargé d’initier la capture et le transfert. Cette combinaison permet un espionnage permanent, sans jamais attirer l’attention de l’utilisateur.
FreeVPN.One met en avant un bouton “Scan with AI”, censé analyser un site web à la demande. En réalité, cette fonction sert de paravent. Les captures d’écran sont déjà envoyées en continu, bien avant que l’utilisateur n’interagisse avec l’interface. L’option n’est qu’un leurre pour donner l’impression d’un outil réactif et respectueux.
Une bascule discrète, version après version
L’évolution du code de l’extension révèle une montée en puissance progressive de ses capacités de surveillance :
- Avril 2025 (v3.0.3) : l’extension demande l’accès à tous les sites, mais sans espionnage actif.
- Juin 2025 (v3.1.1) : arrivée du branding “AI Threat Detection” et extension des scripts à l’ensemble du web.
- 17 juillet 2025 (v3.1.3) : déclenchement de la capture automatique, collecte de la géolocalisation et des empreintes appareils.
- 25 juillet 2025 (v3.1.4) : chiffrement des données avec AES-256-GCM, rendant leur détection plus complexe.
Un développeur qui fuit les questions
Interrogé par Koi Security, le développeur affirme que ces captures servaient à “détecter des menaces potentielles” et qu’elles ne seraient pas stockées. Il promet également une future mise à jour pour demander le consentement explicite de l’utilisateur. Mais les explications ne tiennent pas face aux preuves : même des sites aussi inoffensifs que Google Photos ou des plateformes bancaires étaient visés.
Pire encore, aucun signe tangible de société réelle derrière l’extension : le site web lié à l’éditeur (phoenixsoftsol.com) renvoie à une simple page Wix sans mention légale, ni équipe, ni activité identifiée. Après quelques échanges, le développeur cesse toute communication.
Ce qu’il faut faire si vous avez installé FreeVPN.One
Si vous avez utilisé cette extension, les experts recommandent de :
- la désinstaller immédiatement,
- changer les mots de passe des services visités pendant son utilisation,
- supprimer l’historique et les données de navigation,
- surveiller toute activité suspecte sur vos comptes.
Et pour l’avenir, opter uniquement pour des VPN reconnus, audités et transparents sur leurs pratiques de collecte. Depuis hier, l’extension n’est plus disponible sur le Chrome Web Store.
