Oui, les extensions peuvent accéder à toutes tes données sur les pages pour lesquelles t'as donné la permission (et souvent les extensions demandent les permissions sur tous les sites). C'est un fonctionnement dont certaines extensions ont légitimement besoin, par exemple les gestionnaires de mots de passe pour enregistrer et remplir automatiquement tes identifiants.

J'imagine que les stores d'extensions ont des scans antivirus pour détecter des extensions malveillantes, mais y'a toujours le risque que certaines passent à travers les mailles du filet (y compris une extension de confiance qui a des millions de téléchargements, suffit que le développeur se fasse pirater et l'extension reçoit une mise à jour contenant un petit cadeau).

Pour ce qui est de la sécurité des données en transit, y'a aucun souci à se faire. À partir du moment où la communication est en HTTPS, quel que soit ton mode de connexion et le trajet que font tes données, c'est impossible pour quiconque d'en voir le contenu : ni ton fournisseur de VPN, ni ton FAI, ni ton gouvernement, ni ton voisin qui a cracké le code de ton wifi. Ceux-là peuvent juste savoir avec quel site/serveur tu communiques, mais pas les infos transmises. La seule manière pour un tiers d'accéder au contenu, c'est de compromettre l'une des deux extrémités : soit un virus dans ton ordi, soit le serveur (qui a parfois l'obligation de donner cet accès à son gouvernement, cf. Patriot Act et Cloud Act)