VoidStealer : comment ce malware contourne l’Abe de Chrome pour voler la clé maître

Apollinaire Monteclair

VoidStealer : une nouvelle méthode de contournement de l’Application-Bound Encryption (ABE) de Chrome

En 2026, VoidStealer a fait les gros titres de la cybersécurité française en réussissant à extraire la v20_master_key de Google Chrome grâce à une technique de débogage innovante. Cette technique rappelle la fraude musicale alimentée par IA. Cette méthode, qui exploite des hardware breakpoints pour intercepter la clé maître lors d’une opération de déchiffrement, représente une évolution critique des capacités des infostealers. Dans les prochains paragraphes, vous découvrirez comment fonctionne ce contournement, quels sont les risques concrets et surtout comment votre organisation peut se prémunir efficacement.

Mécanisme de l’Application-Bound Encryption (ABE)

Principes fondamentaux de l’Abe

L’Application-Bound Encryption (ABE) a été introduite dans Chrome 127 (juin 2024) afin de protéger les cookies, les mots de passe et les jetons d’authentification. Le principe repose sur le chiffrement de la clé maître sur le disque ; la clé ne peut être déchiffrée que par le service système Google Chrome Elevation Service, qui s’exécute avec les privilèges SYSTEM. Cette architecture garantit que les processus utilisateurs ne peuvent pas lire directement la clé.

« L’Abe empêche la récupération de la clé maître via un accès utilisateur classique, chaque appel de déchiffrement passe par le service d’élévation de Chrome. » - Google Security Blog, 2024

Pourquoi ABe n’est plus inviolable

Malgré ces protections, plusieurs groupes de malwares ont déjà contourné l’Abe en s’appuyant sur des failles d’injection ou des modules open-source comme ElevationKatz. VoidStealer se distingue en ne nécessitant ni élévation de privilèges ni injection de code ; il exploite simplement le comportement légitime du service d’élévation.

Analyse du vecteur de contournement de VoidStealer

Étape 1 : lancement d’un processus Chrome suspendu

  1. Création d’un processus Chrome caché : le malware démarre Chrome en mode suspended afin d’éviter toute interaction visible avec l’utilisateur.
  2. Attachement du débogueur : le processus est ensuite attaché comme débogueur, ce qui donne accès aux registres et à la mémoire du processus cible.

Étape 2 : mise en place du hardware breakpoint

Le code de VoidStealer recherche dans chrome.dll ou msedge.dll une séquence de caractères spécifique accompagnée d’une instruction LEA. Cette adresse devient le point d’arrêt matériel : dès qu’un thread exécute cette instruction, le breakpoint se déclenche.

« VoidStealer utilise un breakpoint matériel sur l’instruction LEA qui pointe vers la clé maître en texte clair pendant le décryptage. » - Vojtěch Krejsa, Gen Digital, 2026

Étape 3 : extraction de la clé maître

Lorsque le breakpoint se déclenche, le malware lit le registre contenant le pointeur vers la clé en clair via ReadProcessMemory. La clé v20_master_key est alors disponible en mémoire et peut être chiffrée avec la clé publique de l’opérateur du malware pour être exfiltrée.

Illustrations du processus

// Exemple simplifié d’utilisation de ReadProcessMemory après un breakpoint
HANDLE hProc = OpenProcess(PROCESS_VM_READ, FALSE, dwPid);
BYTE keyBuffer[64];
SIZE_T bytesRead;
ReadProcessMemory(hProc, (LPCVOID)pKeyAddress, keyBuffer, sizeof(keyBuffer), &bytesRead);
// La clé est maintenant dans keyBuffer

Impacts sur la sécurité des données de navigation

Types de données exposées

  • Cookies d’authentification aux services bancaires
  • Jetons OAuth pour les comptes cloud (Google Drive, OneDrive)
  • Identifiants de connexion sauvegardés par le gestionnaire de mots de passe de Chrome

Conséquences pour les entreprises françaises

  • Escalade de privilèges : même si le malware ne démarre pas avec les droits SYSTEM, la clé maître permet de déchiffrer des sessions utilisateur, ouvrant la porte à des mouvements latéraux.
  • Violation du RGPD : la fuite de données personnelles stockées dans les cookies ou les sessions constitue une violation notable, avec des amendes pouvant atteindre 20 % du chiffre d’affaires annuel mondial selon l’CNIL.
  • Perte de confiance : une fuite d’informations d’authentification impacte directement la réputation de la marque.

« Le vol de la clé maître rend possible le reconstitution de sessions authentifiées sans jamais toucher les identifiants en clair. » - Rapport ENISA, 2025

Détection et réponse face à VoidStealer

Techniques de détection basées sur le comportement

  • Surveillance des appels CreateProcess avec le flag CREATE_SUSPENDED : les processus Chrome lancés de manière suspecte sont immédiatement signalés.
  • Détection de l’attachement de débogueur : l’API Windows CheckRemoteDebuggerPresent ou les événements ETW liés aux débogueurs sont surveillés. Pour une supervision en temps réel des comportements anomalies, voyez le projet Desktop Overlay Polygraf AI.
  • Analyse des points d’arrêt matériels : les systèmes d’intégrité de la mémoire (ex. : Windows Defender Application Guard) peuvent identifier l’utilisation non autorisée de SetHardwareBreakpoint.

Bonnes pratiques de prévention

  • Activer la politique de groupe : EnableLUA et EnableSecureBoot pour limiter les processus qui peuvent attacher un débogueur.
  • Déployer des solutions EDR capable d’intercepter les appels ReadProcessMemory sur des processus critiques.
  • Mettre à jour Chrome : les correctifs post-June 2024 limitent la durée pendant laquelle la clé reste en clair en mémoire.

Checklist de détection (liste à puces)

  • ☐ Surveiller les processus Chrome créés en mode suspended.
  • ☐ Bloquer les tentatives d’attachement de débogueur aux exécutables système.
  • ☐ Auditer les logs d’événements Windows liés à SetHardwareBreakpoint.
  • ☐ Vérifier la présence de modules tierces comme ElevationKatz dans les chemins de recherche du système.

Processus de réponse (liste numérotée)

  1. Isolation immédiate du poste compromis via réseau segmenté.
  2. Collecte de la mémoire pour extraire les artefacts du breakpoint.
  3. Rotation des cookies et réinitialisation des jetons d’accès pour les comptes sensibles.
  4. Notification à la CNIL si des données personnelles ont pu être exposées.
  5. Mise à jour de la politique de sécurité pour inclure des règles de détection de debug.

Comparatif des solutions de protection du navigateur contre le vol de clé maître

SolutionMéthode de protectionDétection du breakpointCoût (€/an)
Chrome EnterpriseIsolation du processus d’élévationOui (via CEF)1200
Microsoft Defender for EndpointAnalyse comportementale + EDRPartielle900
CrowdStrike FalconModule de protection de la mémoire (RTP)Oui1400
SentinelOneDeep learning sur les appels systèmePartielle1100

Mise en œuvre d’une stratégie de défense

Étapes actionnables

  • Auditer les postes : vérifier que toutes les stations de travail utilisent Chrome 127 ou supérieur.
  • Déployer un EDR : choisir une solution capable d’intercepter SetHardwareBreakpoint et ReadProcessMemory.
  • Former les équipes : sensibiliser les administrateurs aux techniques de débogage détournées par les malwares.
  • Implémenter la segmentation réseau : les navigateurs des utilisateurs à haut risque (finance, RH) doivent être isolés.
  • Réviser les politiques de récupération de mot de passe : privilégier les MFA et les jetons de courte durée afin de réduire l’impact d’une fuite de cookies.

Exemple de règle SIEM (pseudo-code)

SELECT EventID, ProcessName, CommandLine
FROM WindowsEventLog
WHERE ProcessName = 'chrome.exe'
  AND CommandLine LIKE '%CREATE_SUSPENDED%'
  AND NOT User IN ('System', 'TrustedInstaller')

Conclusion : anticiper l’évolution des infostealers

En 2026, VoidStealer a démontré que la simple présence d’une clé maître en mémoire, même pendant une fraction de seconde, suffit à compromettre l’ensemble du périmètre d’authentification d’une organisation. La défense ne peut plus se contenter de protéger les fichiers sur disque : elle doit surveiller les fenêtres d’exposition au niveau de la mémoire et bloquer les activités de débogage non autorisées.

« Les attaquants vont continuer à chercher les petites failles opérationnelles, comme un brief instantané d’une clé en clair. » - Vojtěch Krejsa, Gen Digital, 2026 — pour en savoir plus sur l’interdiction des outils DIA de nudification.

Pour vous, la prochaine étape consiste à audit​er vos solutions EDR et à mettre en place des règles de détection des breakpoints matériels. Ainsi, vous transformerez la menace présentée par VoidStealer en une opportunité d’améliorer la posture de sécurité de votre environnement de navigation.