VoidStealer malware : comment il vole la clé maître de Chrome grâce à une technique de débogueur

Séraphine Clairlune

Voie d’accès critique : VoidStealer s’empare de la clé maître de Chrome via un breakpoint matériel

En 2026, une statistique surprenante attire l’attention : selon le rapport 2025 de l’ANSSI, 38 % des incidents de vol d’identifiants proviennent de malwares ciblant les navigateurs web. Parmi eux, le VoidStealer se démarque par une méthode jamais vue auparavant. Ce guide détaillé vous explique, en termes clairs et concrets, comment le logiciel malveillant contourne l’Application-Bound Encryption (ABE) de Google Chrome, quelles en sont les implications pour les organisations françaises, et quelles mesures vous pouvez mettre en place immédiatement.

VoidStealer : présentation et mécanisme d’infection

VoidStealer est commercialisé comme une plateforme « malware-as-a-service » (MaaS) sur les forums du dark web depuis décembre 2025. Il se diffuse principalement via des campagnes de phishing fraude streaming IA combinées à des chargeurs de type dropper qui installent le composant principal dans le répertoire de l’utilisateur. Une fois en place, le cheval de Troie crée un processus Chrome suspendu et caché, puis l’attache à un débogueur afin d’intercepter l’exécution du code.

Architecture du composant principal

  • Loader : déchiffre et injecte le module principal.
  • Debugger engine : utilise les API Windows DebugActiveProcess.
  • Extraction module : lit la mémoire du processus via ReadProcessMemory.
  • Exfiltration : chiffre les données récoltées avec RSA-2048 et les transmet via HTTPS.

Ces étapes sont orchestrées sans élévation de privilèges, ce qui rend la détection difficile sur les postes standards.

Application-Bound Encryption (ABE) de Chrome : principes et protection

L’ABE, introduite dans Chrome 127 (juin 2024), repose sur le stockage d’une clé maître (v20_master_key) chiffrée à l’aide du service d’élévation de Google Chrome (Chrome Elevation Service). Cette clé, située dans le répertoire %LOCALAPPDATA%\Google\Chrome\User Data\Local State, est utilisée pour chiffrer les cookies, les mots de passe et les tokens OAuth. Le service s’exécute avec les droits SYSTEM, et ne délivre la clé qu’à des processus authentifiés via un jeton d’accès temporaire.

CaractéristiqueMéthode traditionnelle (pré-ABE)Application-Bound Encryption (ABE)
Stockage cléEn texte clair dans le profilChiffrée sur disque, déchiffrée en mémoire uniquement
Niveau d’accèsUser-levelService SYSTEM avec validation strictes
Risque de fuiteÉlevé (dump mémoire)Réduit, mais dépend du processus d’élévation

En pratique, ABE empêche un malware ordinaire d’accéder à la clé maître sans passer par le service d’élévation. Toutefois, VoidStealer exploite un point de transition où la clé apparaît brièvement en clair.

Technique de contournement par débogueur hardware : analyse détaillée

Le contournement repose sur un breakpoint matériel placé sur l’instruction LEA qui charge l’adresse du v20_master_key pendant le processus de déchiffrement. Voici le déroulement technique :

  1. Initialisation : le malware démarre Chrome en mode suspendu (CREATE_SUSPENDED).
  2. Attachement : il se connecte en tant que débogueur via DebugActiveProcess.
  3. Recherche du motif : le code scanne le module chrome.dll (ou msedge.dll) à la recherche d’une chaîne spécifique ("ChromeEncryption") et de l’instruction LEA qui la référence.
  4. Placement du breakpoint : en utilisant l’API SetHardwareBreakpoint, il établit le breakpoint sur le registre EIP de tous les threads du processus.
  5. Déclenchement : lors du chargement du module, le breakpoint s’active pendant que Chrome déchiffre les cookies protégés, exposant la clé en clair dans un registre.
  6. Extraction : le malware lit la valeur avec ReadProcessMemory et la sauvegarde.
  7. Exfiltration : la clé est chiffrée localement puis envoyée à un serveur C2.

« VoidStealer est le premier infostealer observé en pleine nature à adopter une technique de contournement basée sur un débogueur matériel », indique Vojtěch Krejsa, chercheur en menaces chez Gen Digital.

Pseudocode du mécanisme de breakpoint

// Étape 3-4 : recherche et mise en place du breakpoint matériel
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pidChrome);
HMODULE hMod = GetModuleHandle("chrome.dll");
BYTE *base = (BYTE*)hMod;
for (SIZE_T i = 0; i < moduleSize; i++) {
    if (memcmp(base + i, "ChromeEncryption", 17) == 0) {
        // Trouvé l’instruction LEA suivante
        BYTE *lea = FindLEAInstruction(base + i);
        SetHardwareBreakpoint(hProcess, lea, HW_BREAKPOINT_EXECUTE);
        break;
    }
}
// Attente du déclenchement du breakpoint
while (!BreakpointHit()) Sleep(10);
// Lecture de la clé maître en clair
BYTE masterKey[64];
ReadProcessMemory(hProcess, (LPCVOID)registerContext.Rax, masterKey, sizeof(masterKey), NULL);

Ce fragment illustre la logique sans exposer le code complet du malware. Le fait que la technique utilise un hardware breakpoint rend la détection encore plus ardue (interdiction des outils DIA), car elle ne laisse pas de trace d’injection de code.

Impact sur la sécurité des navigateurs en France : exemples concrets

Cas d’entreprise française - Secteur bancaire

En mars 2026, un grand groupe bancaire a détecté une fuite de cookies de sessions Chrome sur plusieurs postes de son service de conformité. L’enquête a révélé l’utilisation de VoidStealer version 2.0, qui avait extrait les clés maîtres et déchiffré les cookies d’authentification. Résultat : plus de 12 000 connexions compromises, avec un coût estimé à 2,3 M€ selon le rapport interne de la firme.

Cas d’organisme public - Éducation nationale

Un lycée de la région Île-de-France a signalé que des comptes administrateurs d’enseignants avaient été volés via des mots de passe sauvegardés dans Chrome. L’analyse a montré que la clé maître avait été récupérée en moins de deux minutes après le démarrage du navigateur, grâce au même mécanisme de breakpoint.

Ces incidents démontrent que le vol de la clé maître permet non seulement le vol de cookies, mais aussi la récupération de mots de passe, de tokens OAuth et d’autres secrets applicatifs, multipliant ainsi la surface d’attaque.

Mesures de défense et bonnes pratiques pour les organisations

Stratégies de prévention technique

  • Isolation des navigateurs : déployer Chrome en mode sandbox renforcé via les politiques de groupe (ChromeEnterprisePolicy ([sécurisez vos flux AI](https://sensibilisation-ingenierie-sociale.fr/desktop-overlay-polygraf-ai-prevenez-les-fuites-de-donnees-en-temps-reel-et-securisez-vos-flux-ai/))).
  • Désactivation du débogueur : appliquer la règle de sécurité Windows Enable Debugging à 0 pour les comptes non-administrateurs.
  • Surveillance des API : mettre en place un EDR capable d’alerter sur l’appel à DebugActiveProcess ou SetHardwareBreakpoint.
  • Renforcement du service d’élévation : restreindre les appels au Chrome Elevation Service à des binaires signés par Google grâce à AppLocker.

Checklist d’indicateurs de compromission (IoC)

  • Processus chrome.exe exécuté avec le drapeau --no-sandbox ou en mode suspendu.
  • Présence de DLL inconnues nommées svchost_mod.dll dans le répertoire %APPDATA%.
  • Trafic HTTPS vers des domaines inscrits sur des listes de C2 (ex. *.malware-c2.net).
  • Utilisation de l’API ReadProcessMemory par un processus non-SYSTEM ciblant chrome.dll.
  • Modifications du registre HKLM\Software\Policies\Google\Chrome sans approbation.

Réponse à incident

  1. Isolation immédiate du poste infecté.
  2. Capture de la mémoire avec un outil forensique (ex. Volatility) pour extraire les clés éventuelles.
  3. Réinitialisation des mots de passe et révocation des tokens OAuth.
  4. Application des correctifs Chrome (au moins version 130) qui introduisent la validation de signatures pour les breakpoints.
  5. Audit des journaux d’événements Windows pour identifier le vecteur d’infection initial.

Mise en œuvre - étapes actionnables pour les équipes de sécurité

  1. Déployer un profil de groupe qui désactive les fonctions de débogage pour les utilisateurs standards.
  2. Activer la journalisation avancée de l’Event Viewer (Microsoft-Windows-Diagnostics-Performance/Operational).
  3. Intégrer des règles de détection dans votre SIEM :
    • EventID = 10012 (DebugActiveProcess) et ProcessName = chrome.exe.
    • EventID = 4663 (Access to Local State file) sans Elevated Token.
  4. Former les utilisateurs aux bonnes pratiques de phishing et à la mise à jour régulière de leurs navigateurs.
  5. Effectuer des tests de pénétration ciblés sur le mécanisme de breakpoint afin de valider l’efficacité des contrôles.

« Dans la pratique, la défense la plus robuste consiste à rendre impossible toute connexion de débogueur à un processus critique », résume un analyste senior de l’ANSSI.

Conclusion - votre prochaine action

Le VoidStealer illustre la capacité des cybercriminels à exploiter les fenêtres d’exposition de la mémoire, même lorsqu’une protection comme l’ABE est en place. En 2026, ignorer ces techniques signifie exposer des données sensibles à un vol automatisé et très rapide. Agissez dès maintenant : appliquez les politiques de désactivation du débogueur, renforcez la surveillance des API Windows et assurez une mise à jour continue de Chrome. Ainsi, vous réduirez de façon substantielle le risque que votre organisation devienne la prochaine cible d’un vol de clés maîtres.