Un infostealer vendu sur le dark web depuis décembre 2025 contourne le chiffrement de Chrome sans injection de code.
Les navigateurs basés sur Chromium (Chrome, Edge, Brave, Opera) partagent la même architecture. Cela les rend pratiques à utiliser, mais ce sont aussi des cibles de choix pour les personnes malveillantes qui trouvent une faille. VoidStealer est l’exemple type et il est particulièrement préoccupant.
Un malware vendu à l’abonnement sur le dark web
VoidStealer est un infostealer commercialisé comme un service sur des forums spécialisés du dark web depuis mi-décembre 2025. Le modèle est simple, car des cybercriminels paient un abonnement pour accéder à l’outil et l’utiliser contre leurs propres cibles. En 3 mois d’existence, il a déjà connu 11 versions. La version 2.0 publiée le 13 mars 2026 a alerté les chercheurs de Gen Threat Labs. Il s’agit d’une branche de sécurité du groupe Gen Digital (Norton, Avast). L’analyse technique a été publiée le 19 mars.
Sa cible est précise, il s’agit de la v20_master_key, une clé maîtresse introduite par Chrome en juillet 2024 avec le déploiement de l’Application-Bound Encryption (ABE). Celle-ci sert à chiffrer l’intégralité des mots de passe, des cookies et des sessions de connexion stockés dans le navigateur. Celui qui la possède est en mesure de déchiffrer toutes ces données, de récupérer des sessions actives et même d’accéder à des services en ligne sans avoir à saisir le moindre identifiant.
Une technique inédite qui trompe les outils de sécurité
VoidStealer est particulièrement redoutable, car son mécanisme est hors du commun. Lors du démarrage du navigateur, Chrome doit déchiffrer la v20_master_key pour charger les cookies. Pendant un bref instant, elle existe en clair dans la mémoire. Cette fenêtre est exploitée par VoidStealer.
- Le malware lance Chrome en mode caché, puis s’attache comme un débogueur.
- Il a un rôle parfaitement légitime aux yeux du système d’exploitation.
- Il pose des points d’arrêt matériels sur tous les threads du navigateur, attend que la clé apparaisse en mémoire.
- Il la lit en deux opérations.
C’est malin puisque vous n’avez aucune injection de code et aucun changement des privilèges. Les signaux que les outils de sécurité cherchent habituellement à détecter ne sont pas repérés.
La technique n’a pas été inventée. En réalité, elle a été adaptée d’ElevationKatz, un projet open source disponible librement depuis plus de 6 mois. VoidStealer est simplement le premier malware à l’avoir déployée en conditions réelles.
Que pouvez-vous faire ?
Apprenez à créer un environnement sûr lorsque vous êtes en ligne. Voici les recommandations des chercheurs :
- Maintenez Chrome à jour en permanence, Google a confirmé qu’il travaillait sur des contre-mesures.
- Surveillez les processus Chrome en arrière-plan pour détecter des comportements anormaux.
- Évitez d’installer des logiciels d’origine inconnue.
- Ne conservez pas de sessions sensibles ouvertes inutilement dans le navigateur.
Google avait déployé l’ABE pour forcer les attaquants à des actions qui pouvaient être détectées plus aisément. VoidStealer démontre que ce mécanisme, solide pendant près d’un an, peut être contourné.
