L’infostealer utilise une méthode de débogage inédite pour extraire la clé de déchiffrement de Chrome sans élévation de privilèges, ce qui soulève des inquiétudes quant à l’avenir de la sécurité des données du navigateur.
Un nouveau voleur d’informations contourne le cryptage lié aux applications (ABE) de Chrome, en utilisant une technique basée sur un débogueur qui, selon les chercheurs, n’a jamais été vue dans la nature auparavant.
Appelé « VoidStealer », le voleur semble avoir trouvé un moyen de contourner l’ABE, introduit dans Chrome 127 en 2024, un contrôle de sécurité visant à verrouiller les données sensibles du navigateur telles que les mots de passe et les cookies derrière des cryptages plus stricts, liant le décryptage à un service système privilégié.
Bien que les contournements ABE aient existé auparavant, grâce à des techniques impliquant l’injection de code dans Chrome, l’abus du service COM/élévation et le débogage à distance, presque tous nécessitaient des privilèges d’administrateur.
Vojtěch Krejsa, le chercheur en menaces chez Gen qui a été le premier à signaler le voleur, qualifie le contournement de VoidStealer de non bruyant. « Le contournement ne nécessite ni élévation de privilèges ni injection de code, ce qui en fait une approche plus furtive par rapport aux méthodes alternatives de contournement ABE », a-t-il déclaré dans un article de blog.
À la poursuite du passe-partout
Un contournement ABE s’articule autour d’un élément essentiel, la « v20_master-key ». Cette clé est ce qui déverrouille finalement les secrets stockés du navigateur, notamment les cookies, les mots de passe et les jetons, une fois que le navigateur a vérifié la demande. En théorie, ABE garde cette clé étroitement gardée, garantissant qu’elle ne soit jamais exposée de manière à ce qu’un logiciel malveillant puisse y accéder facilement.
Cependant, dans la pratique, cette clé doit toujours exister en texte brut au moment de l’exécution, ne serait-ce que brièvement, pour que Chrome puisse faire son travail.
Les techniques de contournement antérieures trouvaient des moyens de poursuivre le décryptage, certaines s’appuyant sur l’injection de processus qui impliquait d’insérer du code malveillant dans Chrome pour invoquer une routine de décryptage légitime. D’autres ont utilisé le dumping de mémoire ou le débogage à distance, analysant de grandes parties de la mémoire de processus pour localiser les données décryptées. Des approches plus avancées exploitaient le service d’élévation de Chrome ou les interfaces COM pour inciter le navigateur à transmettre le matériel décrypté.
VoidStealer emprunte une voie plus chirurgicale, a expliqué Krejsa. Au lieu de forcer Chrome à décrypter les données ou à gratter largement la mémoire, il s’attache en tant que débogueur et attend. En plaçant des points d’arrêt matériels sur une instruction précise liée au flux de décryptage de Chrome, il intercepte le moment exact où la clé v20_master_key apparaît en clair dans la mémoire. Il lit ensuite la clé à l’aide des API de débogage standard.
VoidStealer utilise des points d’arrêt matériels car ils ne modifient pas le code, a expliqué Krejsa. Contrairement aux points d’arrêt logiciels, qui peuvent être détectés, les points d’arrêt matériels s’appuient sur les registres du processeur, laissant la mémoire intacte et sans altérer l’exécution naturelle de Chrome.
Malware avec de nombreuses astuces
VoidStealer fait partie d’un changement plus large dans la façon dont les infostealers évoluent après l’ABE. Le malware prend déjà en charge plusieurs techniques de contournement, en revenant si nécessaire à d’anciennes méthodes basées sur l’injection, mais en donnant clairement la priorité à la furtivité lorsque cela est possible.
Krejsa a également mis en garde contre le rythme de son développement. Depuis son apparition en décembre 2025, le malware a rapidement évolué au fil des versions, suggérant une maintenance active et une demande probable des clients sur les marchés clandestins. Le malware, qui exécute un modèle MaaS, a subi jusqu’à présent un total de 12 itérations, la dernière version « v2.1 » étant déployée le 18 mars 2026.
Parce que VoidStealer évite l’injection et l’élévation des privilèges, les indicateurs traditionnels pourraient être insuffisants, a noté Krejsa. Il a déclaré que les défenseurs doivent se concentrer sur les signaux comportementaux, notamment les attachements inattendus du débogueur aux processus du navigateur, l’utilisation inhabituelle des API de lecture de la mémoire et les modèles anormaux d’apparition des processus Chrome.
En tant qu’indicateur principal de compromission (IoC), le chercheur a partagé un échantillon lié à VoidStealer v2.0.
