Comment le malware VoidStealer contourne l’Application-Bound Encryption de Chrome

Aurélien Fontevive

Vous croyez que le chiffrement intégré de Chrome protège vos cookies ? Et si un malware nommé VoidStealer pouvait voler la clé maître en un clin d’œil, sans privilèges élevés ?

En 2026, les chercheurs de Gen Digital ont mis en lumière une technique de contournement qui cible directement la Application-Bound Encryption (ABE) introduite par Google en juin 2024. Cette découverte pose un défi majeur aux équipes de cybersécurité, d’autant plus que le malware VoidStealer se propage déjà via des offres « malware-as-a-service » sur le dark web. Dans cet article, nous décortiquons le fonctionnement du logiciel, évaluons ses impacts, et vous proposons des mesures concrètes pour sécuriser vos environnements Windows et les navigateurs Chrome/Edge.

Analyse du fonctionnement du malware VoidStealer

Technique de contournement via breakpoint matériel

Le cœur du mécanisme exploité par VoidStealer repose sur l’utilisation de breakpoints matériels - des points d’arrêt implantés directement dans le processeur. Contrairement aux points d’arrêt logiciels, ils ne laissent aucune trace dans le code du processus cible et sont donc extrêmement difficiles à détecter. Le processus se déroule ainsi :

  1. Lancement d’un processus Chrome suspendé : le malware crée une instance cachée de Chrome, immédiatement mise en pause.
  2. Attachement du débogueur : il se connecte en tant que débogueur au processus suspendé, ce qui lui donne la possibilité de lire la mémoire.
  3. Recherche de la chaîne cible : le code scanne le module chrome.dll (ou msedge.dll) à la recherche d’une chaîne spécifique liée à la décryption de la master key.
  4. Placement du breakpoint : une fois l’instruction LEA identifiée, le breakpoint est positionné sur l’adresse de cette instruction.
  5. Capture de la clé : lorsque le breakpoint se déclenche pendant le déroulement normal du démarrage du navigateur, le registre contenant le pointeur vers la v20_master_key est lu via ReadProcessMemory et la clé est extraite en clair.

« VoidStealer est le premier infostealer observé dans la nature à exploiter une technique de débogage basée sur les breakpoints matériels pour extraire la master key de Chrome », déclare Vojtěch Krejsa, threat researcher chez Gen Digital.

Extraction de la master key v20

La v20_master_key est stockée de façon éphémère dans la mémoire du processus pendant les opérations de déchiffrement des cookies et des identifiants. Google a conçu l’ABE pour que cette clé reste chiffrée sur le disque et ne soit accessible qu’au Google Chrome Elevation Service, s’exécutant en tant que compte SYSTEM. VoidStealer contourne cette barrière en interceptant le moment précis où le processus de Chrome charge la clé en clair en mémoire.

Cette approche ne nécessite aucune élévation de privilèges ni injection de code, ce qui la rend particulièrement stealthy. Le malware se contente de lire la mémoire déjà exposée, évitant ainsi les déclencheurs typiques des solutions anti-malware basées sur la surveillance d’appels systèmes privilégiés.

Impact sur la sécurité des navigateurs Chrome et Edge

Conséquences pour les données sensibles

Une fois la master key récupérée, l’acteur malveillant peut décoder l’ensemble des cookies, mots de passe sauvegardés et jetons d’authentification stockés par le navigateur. Cela donne accès à :

  • Comptes bancaires en ligne : cookies de sessions, codes anti-phishing.
  • Portails d’entreprise : jetons SSO souvent utilisés pour accéder aux intranets internes.
  • Données de santé (si le patient utilise un portail santé via le navigateur).

Statistiques récentes

Fraude musicale IA : comment des faux titres ont généré plus de 10 M $ de royalties illégales

  • Selon le rapport ENISA 2025, 42 % des incidents de vol de données en Europe proviennent d’un malware ciblant les navigateurs web.
  • D’après l’ANSSI, 68 % des organisations françaises n’ont pas appliqué les correctifs de sécurité liés à l’ABE dans les 30 jours suivant leur diffusion, laissant ainsi une fenêtre d’exposition critique.

Risques pour les entreprises françaises

Les entreprises qui autorisent l’usage de Chrome ou Edge sur leurs postes de travail sont potentiellement exposées à la compromission de leurs comptes d’administration et à la fuite d’informations stratégiques. Le modèle malware-as-a-service de VoidStealer signifie que même des acteurs peu spécialisés peuvent lancer des campagnes de phishing contenant le chargeur du malware, amplifiant rapidement la surface d’attaque.

Détection et réponses possibles

Signaux d’alerte et indicateurs de compromission (IoC)

IoCDescriptionMéthode de détection
Processus Chrome suspenduUn processus chrome.exe démarre puis reste au statut Suspended pendant plus de 30 s.Surveillance des états de processus via Sysmon ou WMI.
Breakpoint matériel actifBreakpoints matériels enregistrés dans le registre DR0-DR7 du processus.Analyse des registres CPU avec des outils de débogage forensique.
Lecture anormale de mémoireAppels ReadProcessMemory ciblant chrome.dll ou msedge.dll.Détection d’appels d’API via EDR (ex. Microsoft Defender AV).
Nouvel exécutable cachéFichier exécutable lancé depuis un répertoire temporaire avec attribut hidden.Surveillance des créations de fichiers avec hash blanc.

Contremesures techniques

  • Isolation du navigateur : exécuter Chrome/Edge dans un conteneur Windows (Windows Sandbox ou Application Guard) limite l’accès direct à la mémoire du système.
  • Renforcement du service d’élévation : restreindre l’exécution du Google Chrome Elevation Service aux comptes administrateurs via des GPO.
  • Détection de breakpoints : certains EDR intègrent des signatures capables de repérer la mise en place de points d’arrêt matériels.
  • Surveillance des appels d’API : mettre en place des règles de surveillance pour ReadProcessMemory lorsqu’il cible des modules de navigateur.

Bonnes pratiques de renforcement pour les administrateurs

Configuration de la politique de groupe

Pour approfondir les solutions d’overlay AI en conformité temps réel, voyez notre article sur le Desktop Overlay de Polygraf AI : Desktop Overlay AI : transformation de la conformité en temps réel.

  1. Désactiver l’exécution des débogueurs : Computer Configuration → Administrative Templates → System → Debugging → Turn off Debugger.
  2. Limiter les privilèges des utilisateurs : appliquer le principe du moindre privilège (Least Privilege) et interdire les comptes administratifs aux postes utilisateurs.
  3. Activer le contrôle d’accès à la mémoire : paramétrer EnableVirtualizationBasedSecurity pour isoler les processus sensibles.

Mise à jour et durcissement du système

  • Patch quotidien : s’assurer que le correctif de Chrome 127 (et les versions ultérieures) est déployé via WSUS ou Intune.
  • Hardening du kernel : activer PatchGuard et Control Flow Guard (CFG) pour réduire les possibilités d’intrusion au niveau du noyau.
  • Audits réguliers : réaliser des scans de conformité à la norme ISO 27001 et aux exigences du RGPD concernant la protection des données personnelles stockées par les navigateurs.

Mise en œuvre - étapes actionnables pour se protéger

  1. Inventorier les postes : recenser tous les terminaux exécutant Chrome ou Edge et vérifier la version installée.
  2. Déployer les stratégies GPO décrites ci-dessus, en testant d’abord sur un groupe pilote.
  3. Activer la supervision EDR : configurer les alertes pour les IoC listés, notamment les appels ReadProcessMemory vers les bibliothèques du navigateur.
  4. Isoler les navigateurs : mettre en place Windows Sandbox ou Azure Virtual Desktop pour les sessions à risque.
  5. Former les utilisateurs : sensibiliser aux vecteurs d’infection (phishing, pièces jointes exécutables) qui pourraient déployer VoidStealer.
  6. Auditer les journaux : analyser quotidiennement les logs Sysmon et les événements Windows afin de détecter toute activité suspecte.
// Exemple simplifié de code malveillant utilisant un breakpoint matériel
HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pidChrome);
CONTEXT ctx = {0};
ctx.ContextFlags = CONTEXT_DEBUG_REGISTERS;
GetThreadContext(hThread, &ctx);
ctx.Dr0 = (DWORD_PTR)addrBreakpoint; // adresse de l'instruction LEA ciblée
ctx.Dr7 = 0x00000001; // activer le breakpoint sur Dr0
SetThreadContext(hThread, &ctx);
ResumeThread(hThread);
// Attente du déclenchement du breakpoint, puis lecture de la clé
ReadProcessMemory(hProc, (LPCVOID)ptrKey, buffer, keySize, NULL);

« Dans la pratique, la mise en place d’un breakpoint matériel ne laisse aucune trace dans les journaux de l’OS, ce qui rend la détection très difficile sans surveillance des registres CPU », explique un analyste en cybersécurité.

Conclusion : quelles actions immédiates entreprendre ?

En lien avec les nouvelles exigences légales européennes, l’AI Act impose un cadre strict sur les outils de nudification. Pour plus de détails, consultez : Europe renforce le cadre juridique – le ban des outils dia de nudification dans le nouveau AI Act

Le malware VoidStealer démontre que même les solutions de chiffrement les plus récentes, comme l’Application-Bound Encryption de Chrome, peuvent être contournées par des techniques sophistiquées de débogage. Pour les organisations françaises, la priorité est de réduire la surface d’exposition en appliquant les correctifs, en isolant les navigateurs et en surveillant les indicateurs de compromission liés aux breakpoints matériels. En suivant les étapes décrites, vous renforcez votre posture de défense, protégez les données sensibles de vos utilisateurs, et limitez les risques d’exploitation de cette nouvelle menace.

Prochaine action : lancez dès aujourd’hui un audit de vos postes de travail pour vérifier la version de Chrome, appliquez les GPO de durcissement, puis activez les règles EDR dédiées aux appels ReadProcessMemory. La rapidité de mise en œuvre est cruciale ; chaque jour de retard augmente la probabilité que le malware VoidStealer accède à vos master keys.