Le 30 décembre 2025, une enquête de cybersécurité a mis en lumière une campagne d’une ampleur préoccupante menée par un acteur malveillant connu sous le nom de DarkSpectre. Actif depuis plus de sept ans, ce groupe serait à l’origine de l’infection d’environ 8,8 millions d’utilisateurs à travers le monde. Mais au-delà du volume, c’est la nature même de l’opération qui alarme les spécialistes : DarkSpectre ne se contente plus de collecter des données personnelles à grande échelle, il s’oriente désormais vers le renseignement ciblé sur les entreprises, en exploitant un angle mort largement sous-estimé, celui des extensions de navigateur.
La méthode employée est d’une simplicité redoutable. Des extensions gratuites, utiles et parfaitement fonctionnelles sont publiées sur les boutiques officielles des navigateurs. Elles répondent à de vrais besoins : enregistrer de l’audio, gérer le temps des réunions, capturer des vidéos ou améliorer la productivité. Progressivement, ces outils gagnent la confiance des utilisateurs, accumulent des centaines de milliers de téléchargements et des évaluations positives. Puis, à l’occasion d’une mise à jour banale, l’extension se transforme silencieusement en programme malveillant, sans alerter son utilisateur.
La campagne la plus récente, baptisée par les chercheurs « ZoomStealer », marque une évolution stratégique majeure. Dix-huit extensions ont été utilisées pour cibler spécifiquement les plateformes de visioconférence, devenues centrales dans le fonctionnement des organisations modernes. L’une d’entre elles, très populaire, revendiquait à elle seule plus de 800 000 installations avant d’être identifiée comme vecteur actif de cette opération d’espionnage.
Sous couvert de fonctionnalités légitimes, ces extensions demandaient des autorisations étendues sur de nombreux services professionnels. Une fois installées, elles analysaient automatiquement les pages de réunions en ligne et en extrayaient des informations sensibles : liens de connexion parfois accompagnés de mots de passe, identifiants de session, titres des réunions, descriptions, dates, horaires, statuts d’inscription. À ces données techniques s’ajoutait une collecte bien plus fine : profils des organisateurs et intervenants, fonctions occupées, biographies, photos, entreprises associées, logos et supports visuels.
Ce travail de collecte ne relève pas d’un simple pillage opportuniste. Il permet de reconstituer des cartographies complètes des échanges professionnels, d’identifier les centres d’intérêt des organisations, leurs projets en cours, leurs partenaires et leurs interlocuteurs clés. Selon les chercheurs, environ 2,2 millions de machines auraient déjà été compromises par cette seule campagne.
Cette évolution marque une rupture. Jusqu’ici, DarkSpectre était surtout connu pour des opérations de surveillance de masse et de revente de données personnelles. Avec ZoomStealer, le groupe semble désormais privilégier la préparation d’attaques ciblées, notamment des campagnes de phishing d’une crédibilité redoutable. En exploitant des informations réelles issues de réunions authentiques, les messages frauduleux deviennent presque indiscernables des communications légitimes.
Les indices techniques relevés par les analystes — infrastructures utilisées, habitudes de développement, plages horaires d’activité — orientent l’attribution vers un acteur lié à l’écosystème chinois, sans pour autant permettre d’identifier formellement une entité étatique. Cette prudence n’enlève rien à la gravité du constat : l’espionnage numérique passe désormais par des outils du quotidien, installés volontairement par des utilisateurs de bonne foi.
Au-delà du cas DarkSpectre, cette affaire révèle une vulnérabilité systémique. Les navigateurs sont devenus de véritables postes de travail, concentrant messagerie, documents, réunions, accès aux services critiques. Pourtant, les extensions continuent d’être installées sans réel contrôle, souvent par confort ou urgence, et bénéficient d’un niveau de confiance disproportionné.
À l’heure où le travail à distance structure l’économie mondiale, cette enquête agit comme un signal d’alarme. La cybersécurité ne se joue plus uniquement dans les infrastructures lourdes ou les mots de passe complexes, mais dans les détails ordinaires du quotidien numérique. Là où l’habitude remplace la vigilance, le risque devient invisible — et donc infiniment plus dangereux.
