Contexte et découverte de la menace

Le 2 janvier 2026, des chercheurs en cybersécurité de la firme Koi Security ont publié une alerte importante après avoir identifié une vaste campagne malveillante de collecte de données via des extensions de navigateur. Cette opération, nommée Zoom Stealer, affecte principalement Google Chrome, Mozilla Firefox et Microsoft Edge, et cible les utilisateurs de plateformes de visioconférence comme Zoom, Microsoft Teams et Google Meet.

Les extensions, bien que présentées comme légitimes et utiles (par exemple des outils de capture audio ou de téléchargement vidéo), demandent des permissions étendues et permettent d’extraire des informations liées aux réunions dès que l’utilisateur interagit avec des pages d’inscription ou des interfaces de visioconférence.

‍

Mécanisme et collecte de données

Les extensions malveillantes fonctionnent sous couvert de fonctionnalités réelles mais intègrent du code de collecte de données qui s’active en arrière‑plan. Elles capturent notamment :

• Les liens de réunion et ID, parfois intégrant le mot de passe,
• Le statut d’inscription aux sessions,
• Les descriptions, horaires et thèmes des réunions,
• Les noms, rôles, photos et profils des intervenants, et les informations d’entreprise associées.

Toutes ces données sont ensuite transmises via des connexions WebSocket vers une infrastructure contrôlée par les cybercriminels, permettant une utilisation en temps réel ou ultérieure.

‍

Attribution et motivations possibles

La campagne Zoom Stealer est reliée à un groupe de cybercriminels appelé DarkSpectre, déjà impliqué dans d’autres campagnes d’extensions malveillantes comme ShadyPanda et GhostPoster. Ces opérations cumulées auraient touché environ 8,8 millions d’utilisateurs sur plusieurs années.

Selon les experts, l’objectif a évolué d’un vol de données consommateurs vers une infrastructure d’espionnage corporate, focalisée sur le renseignement d’affaires. L’accès à des informations de réunion peut faciliter des attaques de social engineering, des usurpations d’identité et des intrusions dans des appels confidentiels.

‍

Risques stratégiques pour les entreprises

L’impact de cette cybermenace va au‑delà du simple vol de données personnelles ou d’accès à des réunions publiques. Pour les organisations, les risques incluent :

• Espionnage industriel et collecte d’informations stratégiques,
• Phishing ciblé basé sur des données précises de réunions et d’intervenants,
• Accès non autorisé à des sessions internes ou confidentielles,
• Détournement d’identité professionnelle lors d’appels.

La sophistication de cette campagne démontre comment des vecteurs d’apparence bénins peuvent servir à de vraies opérations de renseignement cybercriminel.

‍

Mesures de prévention et recommandations

Face à cette menace, plusieurs bonnes pratiques sont essentielles pour réduire les risques :

• Auditer régulièrement les extensions installées sur les postes de travail,
• Désinstaller toute extension qui demande des permissions disproportionnées,
• Limiter strictement l’usage d’extensions non vérifiées ou issues de sources tierces,
• Mettre en place des politiques de sécurité internes sur les navigateurs et les extensions autorisées,
• Sensibiliser les équipes à la gestion des permissions et à l’analyse des demandes d’accès aux données.

Pour les entreprises, la mise en œuvre de politiques de gestion des extensions et l’intégration de solutions de filtrage avancé sont des étapes prioritaires.

‍

Sources :