Tous vos mots de passe Chrome, vos cookies de session, vos identifiants bancaires enregistrés : un seul programme suffit désormais pour tout aspirer. Et la protection que Google avait justement conçue pour empêcher ce scénario n’y change rien.
VoidStealer, un logiciel malveillant vendu comme un service sur les forums du dark web depuis décembre 2025, vient de franchir un cap. Sa version 2.0, sortie le 13 mars 2026, intègre une technique que les chercheurs de Gen Digital (maison mère de Norton, Avast et AVG) qualifient de première : extraire la clé maîtresse de Chrome directement depuis la mémoire du navigateur en se faisant passer pour un débogueur. Sans élévation de privilèges, sans injection de code, sans déclencher la moindre alerte.
Le verrou de Google contourné en 18 mois
Pour comprendre pourquoi cette attaque est préoccupante, il faut remonter à juillet 2024. Google introduit alors l’Application-Bound Encryption (ABE) dans Chrome 127, un mécanisme censé verrouiller les données sensibles du navigateur. Le principe : les mots de passe et les cookies sont chiffrés avec une clé maîtresse (appelée v20_master_key) qui elle-même ne peut être déchiffrée que par un service système tournant avec les privilèges les plus élevés de Windows. En théorie, un malware classique n’a plus accès à rien.
En pratique, la promesse n’a pas tenu longtemps. Plusieurs familles de malwares ont trouvé des parades dès les premiers mois, selon BleepingComputer, qui suit le sujet depuis l’introduction d’ABE. Google a colmaté, les pirates ont contourné, et le cycle s’est répété. Mais ces techniques antérieures reposaient toutes sur l’injection de code dans le processus Chrome, une opération bruyante que les antivirus repèrent assez facilement.
Un débogueur fantôme dans le navigateur
VoidStealer change la donne. Au lieu de s’injecter dans Chrome, il lance une instance cachée du navigateur, s’y accroche comme un débogueur légitime et attend. Son arme : les points d’arrêt matériels (hardware breakpoints), une fonctionnalité bas niveau du processeur normalement utilisée par les développeurs pour analyser le comportement d’un logiciel.
Le malware scanne la bibliothèque principale de Chrome (chrome.dll) pour localiser l’endroit précis où la clé maîtresse transite en clair dans la mémoire, un bref instant lors du démarrage du navigateur. Il place un point d’arrêt sur cette instruction. Quand le navigateur démarre et déchiffre ses données protégées, le piège se referme : VoidStealer intercepte le registre mémoire qui contient le pointeur vers la clé, puis la lit avec une simple commande Windows (ReadProcessMemory).
Selon Vojtěch Krejsa, chercheur chez Gen Threat Labs, « c’est le premier infostealer observé en conditions réelles à adopter cette technique de contournement ABE basée sur le débogage ». L’approche est « techniquement élégante », note le rapport, et surtout bien plus discrète que les méthodes précédentes : pas d’injection de code, pas de manipulation de processus suspecte. Seules deux opérations système sont nécessaires, l’attachement en débogueur et la lecture mémoire, deux actions considérées comme nettement moins suspectes par les outils de sécurité.
Un service clé en main pour cybercriminels
VoidStealer n’est pas un outil artisanal. C’est un MaaS (Malware-as-a-Service), vendu sur HackForums avec mises à jour régulières. Le rapport de Gen Digital retrace onze versions publiées entre décembre 2025 et mars 2026, soit un rythme effréné d’une nouvelle version toutes les une à deux semaines. La version 2.0, celle qui intègre le contournement par débogueur, embarque aussi une méthode de secours : si le débogage échoue, le malware retombe sur l’injection classique via l’interface COM de Chrome, une technique plus ancienne mais encore fonctionnelle.
Cette approche en double détente rend VoidStealer particulièrement résilient. Même si un antivirus bloque la première méthode, la seconde peut prendre le relais. Le tout est commercialisé avec un panneau de contrôle pour suivre les données volées, un modèle qui abaisse drastiquement la barrière d’entrée pour les cybercriminels.
Une technique empruntée à un outil open source
La technique du débogueur n’est pas née de nulle part. Gen Digital souligne que VoidStealer s’inspire vraisemblablement d’ElevationKatz, un composant du projet open source ChromeKatz disponible sur GitHub depuis plus d’un an. Cet outil, créé par un chercheur en sécurité, démontre les faiblesses d’ABE en extrayant cookies et identifiants directement depuis la mémoire de Chrome. Le code de VoidStealer présente « des différences notables » avec ElevationKatz selon le rapport, mais l’implémentation repose sur le même socle technique.
Le scénario est classique en cybersécurité : un outil de recherche publié pour alerter sur une vulnérabilité finit recyclé par des acteurs malveillants. ChromeKatz était un proof-of-concept destiné à pousser Google à renforcer ses protections. VoidStealer en a fait une arme commerciale.
Ce que les utilisateurs peuvent faire
La portée de l’attaque est large. Chrome représente plus de 65 % du marché des navigateurs sur ordinateur, et Edge (basé sur Chromium) est également vulnérable, puisque VoidStealer cible aussi msedge.dll. Tous les mots de passe enregistrés, les cookies de session (qui permettent de prendre le contrôle d’un compte sans même connaître le mot de passe) et les données de paiement stockées sont exposés.
Les recommandations des chercheurs de Gen Digital restent les mêmes que pour tout infostealer : ne pas cliquer sur des liens ou pièces jointes suspectes, maintenir son antivirus à jour et activer l’authentification à deux facteurs partout où c’est possible. Car même si un pirate vole un cookie de session, le second facteur complique sérieusement l’exploitation.
BleepingComputer indique avoir contacté Google pour commenter cette technique de contournement, mais n’avait pas reçu de réponse au moment de la publication. La balle est dans le camp du géant de Mountain View, qui devra trouver un moyen de rendre l’extraction mémoire de la clé maîtresse plus difficile, ou repenser entièrement le mécanisme ABE. En attendant, les auteurs de VoidStealer ont déjà publié la version 2.1, datée du 18 mars 2026.
