Comment le malware VoidStealer contourne l’encryption d’Chrome et vole votre clé maître

Lysandre Beauchêne

VoidStealer : un infostealer spécialisé dans le vol de la clé maître de Chrome

En 2025, 45 % des organisations françaises ont signalé un incident de vol de données imputable à des infostealers ; selon le rapport annuel de l’ANSSI, les attaques ciblant les navigateurs ont augmenté de 38 % par rapport à l’année précédente. Parmi ces menaces, le malware VoidStealer se démarque par une technique inédites qui exploite le processus de décryptage de Google Chrome. Dès les premiers paragraphes, nous vous exposerons comment ce logiciel malveillant contourne l’Application-Bound Encryption (ABE) afin de récupérer la clé maître stockée en mémoire, et quelles mesures vous pouvez prendre pour protéger vos environnements. En savoir plus sur les fraudes de streaming IA

« VoidStealer est le premier infostealer observé dans la nature à adopter une technique de contournement ABE basée sur un débogueur matériel », explique Vojtěch Krejsa, chercheur en menaces chez Gen Digital.

Mécanisme de contournement : utilisation des breakpoints matériels

Le cœur de l’attaque repose sur la mise en place d’un hardware breakpoint sur une instruction précise du module chrome.dll (ou msedge.dll). Cette approche diffère des méthodes classiques qui requièrent une escalade de privilèges ou l’injection de code ; elle se contente d’attacher le processus Chrome en mode debugger afin d’intercepter le moment où la clé maître est momentanément disponible en clair.

  1. Création d’un processus Chrome suspendu : le malware lance une instance de Chrome dans un état masqué et suspendu, empêchant toute interaction utilisateur.
  2. Recherche du motif : il parcourt le fichier DLL à la recherche d’une chaîne spécifique et d’une instruction LEA qui référence cette chaîne. Cette combinaison sert de point d’ancrage pour le breakpoint.
  3. Activation du breakpoint : le breakpoint est appliqué à tous les threads existants et futurs du processus. Lorsque l’instruction ciblée s’exécute pendant le décryptage des cookies, le registre contenant un pointeur vers la v20_master_key est capturé.
  4. Extraction avec ReadProcessMemory : le malware lit la zone mémoire pointée et récupère la clé en texte clair.

« Le moment idéal pour ce vol est au démarrage du navigateur, lorsque les cookies protégés par ABE sont décryptés pour la première fois », précise le même chercheur.

Pseudocode du breakpoint

// Pseudocode illustrant la mise en place du breakpoint matériel
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pidChrome);
LPVOID pTarget = FindLEAInstruction(hProcess, "v20_master_key");
SetHardwareBreakpoint(hProcess, pTarget);
WaitForBreakpoint();
BYTE key[64];
ReadProcessMemory(hProcess, pKeyLocation, key, sizeof(key), NULL);

Cette séquence montre que le malware VoidStealer ne dépend d’aucune élévation de privilèges ; il exploite simplement la capacité native de Windows à déboguer des processus en tant qu’utilisateur standard, rendant la détection plus complexe.

Analyse de l’Application-Bound Encryption (ABE) et de ses limites

Google a introduit ABE avec la version Chrome 127 (juin 2024) pour protéger les cookies et autres données sensibles. Le principe consiste à chiffrer la clé maître sur le disque à l’aide du service Google Chrome Elevation Service, qui s’exécute sous le compte SYSTEM. Le service valide les requêtes d’accès via des jetons sécurisés, garantissant que seules les applications autorisées peuvent récupérer la clé.

AspectDescription avant l’attaqueSituation après l’attaque par VoidStealer
Stockage de la cléChiffrée sur disque, accessible uniquement via le service ElevationExposée en mémoire pendant le décryptage, récupérable par breakpoint
Niveau de privilège requisSYSTEM (processus dédié)Aucun élévation, seulement un accès en mode débogueur
Protection contre l’injectionVérification d’intégrité du binaireContournée par lecture passive de la mémoire

Malgré les correctifs déployés par Google après les premiers retours, les nouvelles variantes de VoidStealer continuent de réussir grâce à des ajustements du code de recherche d’instruction et à la capacité d’identifier dynamiquement le moment d’exposition de la clé.

Statistiques clés

  • Selon le rapport Gen Digital 2026, 12 % des échantillons d’infostealers analysés incorporaient déjà une forme de contournement ABE, dont VoidStealer représente le prototype le plus répandu.
  • Le Centre français de cybersécurité (ANSSI) indique que les incidents liés aux navigateurs ont entraîné une perte de données estimée à 3,4 milliards d’euros en 2025, renforçant l’importance d’une détection précoce. Prévenez les fuites de données avec le nouvel overlay de bureau de Polygraf AI

Impact sur la sécurité des organisations et recommandations normatives

Le vol de la clé maître permet aux cybercriminels de décrypter non seulement les cookies, mais aussi les mots de passe sauvegardés, les formulaires auto-remplis et les jetons d’authentification. Dans le cadre du RGPD, une telle compromission constitue une violation de la confidentialité des données personnelles, exposant les entreprises à des sanctions pouvant atteindre 4 % du chiffre d’affaires annuel mondial.

Pour aligner votre posture de sécurité avec les exigences de ISO 27001 et ISO 27002, il est recommandé d’adopter les actions suivantes :

  • Segmentation des droits : limiter les comptes utilisateurs à des permissions strictes et interdire l’usage du débogueur sur les postes de travail.
  • Surveillance des appels système : mettre en place des solutions EDR capables de détecter les appels à OpenProcess, ReadProcessMemory et SetHardwareBreakpoint.
  • Renforcement du Chrome Elevation Service : appliquer les dernières mises à jour de Chrome, activer les politiques de groupe qui désactivent le mode débogage pour les processus non privilégiés.
  • Formation des équipes : sensibiliser les employés aux risques liés aux logiciels d’ingénierie sociale qui peuvent introduire le malware via des téléchargements ou des macros malveillantes.

Liste des indicateurs de compromission (IoC)

  • Processus chrome.exe lancé avec les flags --no-sandbox ou --disable-features=Debugger.
  • Présence de modules nommés ElevationKatz.dll ou VoidStealerCore.dll dans le répertoire d’application.
  • Appels répétés à ReadProcessMemory ciblant les adresses comprises entre 0x7ff6xxxx et 0x7ff7xxxx.
  • Fichiers de logs contenant la chaîne “v20_master_key”.

Mise en œuvre de la détection et de la prévention (étapes actionnables)

  1. Intégrer un système de prévention d’exécution (DEP) renforcé sur tous les terminaux, en bloquant les tentatives de chargement de DLL non signées.
  2. Déployer un module de surveillance des breakpoints matériels au sein de votre solution EDR ; beaucoup offrent déjà des signatures pour détecter les SetHardwareBreakpoint.
  3. Configurer la journalisation avancée du service Chrome Elevation Service via les politiques de groupe, afin de capturer tout appel suspect.
  4. Effectuer des analyses de binaires régulières avec des outils comme VirusTotal ou des scanners internes, afin d’identifier les variantes dérivées d’ElevationKatz.
  5. Appliquer les recommandations de Google : activer la fonctionnalité Site Isolation et désactiver les extensions non essentielles qui pourraient offrir une surface d’attaque supplémentaire.

« Une défense en profondeur, combinant restriction des privilèges, surveillance des comportements et mise à jour continue, reste la meilleure stratégie contre les techniques de contournement ABE », conclut le rapport de l’ANSSI.

Conclusion : anticiper les futures évolutions du contournement ABE

Le malware VoidStealer illustre la capacité croissante des acteurs malveillants à exploiter des fonctions légitimes du système d’exploitation pour atteindre leurs objectifs. En 2026, la tendance montre que les attaques debugger-based vont se généraliser, notamment sur les plateformes où les protections de type ABE sont encore jeunes. Pour les organisations françaises, la clé réside dans une veille technologique constante et le déploiement d’une architecture Zero Trust Comment l’interdiction des outils de nudification IA redéfinit la conformité au AI Act européen autour des navigateurs, garantissant que chaque requête de décryptage soit strictement contrôlée.

En suivant les mesures détaillées dans cet article, vous renforcerez votre résilience face aux techniques avancées de vol de clés maîtres, et vous vous conformerez aux exigences légales du RGPD et des normes ISO 27001/27002. Restez vigilants : le prochain vecteur d’attaque pourrait déjà être en cours de développement.