Comment le malware VoidStealer contourne l’Application-Bound Encryption de Chrome pour voler la clé maître

Églantine Montclair

En 2025, plus de 65 % des cyber-attaques ciblent les navigateurs web, et Chrome représente près de 70 % des parts de marché en France. Cette visibilité en fait un objectif privilégié pour les cybercriminels. Parmi les nouvelles menaces, le malware VoidStealer s’est distingué en 2026 en réussissant à extraire la clé maître de Chrome grâce à une technique de débogage novatrice. Cette pratique met à mal la promesse de l’Application-Bound Encryption (ABE) introduite par Google en 2024. Nous vous expliquons le fonctionnement de l’ABE, la façon dont VoidStealer la contourne, les impacts concrets pour les organisations françaises, ainsi que les mesures de détection et de mitigation à adopter.

Comprendre l’Application-Bound Encryption (ABE) de Chrome

Origine et principe de fonctionnement

L’Application-Bound Encryption a été déployée dans Chrome 127 (juin 2024) pour renforcer la protection des cookies, mots de passe et autres données sensibles enregistrées. L’idée centrale est de chiffrer la clé maître v20_master_key à l’aide d’une clé dérivée du processus Chrome lui-même, stockée dans le registre système via le service Google Chrome Elevation Service, qui tourne avec les privilèges SYSTEM. Ainsi, même si un attaquant accède au disque, la clé maître reste illisible sans un processus validé par le service d’élévation.

Rôle de la clé maître et vulnérabilités résiduelles

La clé maîtresse sert à chiffrer et déchiffrer les cookies et les tokens d’authentification. Elle est générée lors du premier lancement de Chrome et, pendant la session, réside brièvement en mémoire sous forme plaintext lors des opérations de décryptage. Cette fenêtre d’exposition, bien que courte, constitue le point d’entrée exploitable pour les malwares capables d’intercepter des accès mémoire en temps réel. Selon le rapport de l’ANSSI 2025, 38 % des incidents liés aux navigateurs exploitent cette phase transitoire.

Mécanisme du contournement utilisé par le malware VoidStealer

Exploitation des points d’arrêt matériels

VoidStealer adopte une approche dite debugger-based, qui repose sur les hardware breakpoints. Contrairement aux points d’arrêt logiciels, ces breakpoints sont gérés par le processeur et ne laissent aucune trace dans le code de l’application cible. Le malware démarre un processus Chrome suspendu et masqué, puis l’attache en tant que débogueur. Il patiente jusqu’à ce que le DLL chrome.dll ou msedge.dll charge la routine contenant la chaîne spécifique « v20_master_key ». En identifiant l’instruction LEA qui pointe vers la clé, le malware fixe le breakpoint sur l’adresse correspondante.

Processus de débogage et récupération de la clé

Lorsque le breakpoint se déclenche, le thread du navigateur exécute l’instruction ciblée, plaçant la clé maître dans un registre de processeur. VoidStealer intercepte alors l’état du registre via l’appel ReadProcessMemory et copie la clé en mémoire contrôlée. Cette opération se déroule avant que le service d’élévation ne puisse re-chiffrer la clé, contournant ainsi l’ABE sans nécessiter d’escalade de privilèges ni d’injection de code.

« VoidStealer est le premier infostealer observé dans la nature à exploiter un breakpoint matériel pour récupérer la v20_master_key », explique Vojtěch Krejsa, chercheur chez Gen Digital.

Le code utilisé ressemble fortement à l’outil open-source ElevationKatz, publié dans le cadre du projet ChromeKatz. VoidStealer a adapté ce prototype, ajoutant la capacité à opérer de façon automatisée sur des machines infectées via des campagnes de phishing ou des kits d’exploitation.

Pour en savoir plus sur la fraude musicale IA, consultez notre analyse : fraude musicale IA.

Impacts pour les utilisateurs et les organisations françaises

Vol de données sensibles et scénarios d’abus

Une fois la clé maître extraite, le malware peut décrypter les cookies de session, les jetons OAuth et même les mots de passe sauvegardés. Cela permet à l’acteur malveillant d’usurper l’identité de l’utilisateur pour accéder à des services bancaires, des plateformes gouvernementales (ex. le téléservice impôts.gouv.fr) ou des environnements d’entreprise protégés par SSO. En pratique, les victimes voient leurs comptes compromis sans aucune alerte de connexion suspecte, car les cookies restent valides.

Conséquences sur la conformité RGPD et la responsabilité légale

Le vol de données d’identification constitue une violation de l’article 32 du RGPD, qui impose des mesures de sécurité appropriées. Les organisations qui ne détectent pas ce type d’intrusion pourraient être tenues responsables des dommages subis par les personnes concernées. Selon le rapport Red Report 2026, le coût moyen d’une fuite de données de navigateur s’élève à 1,2 million d’euros, incluant les frais de notification, de remédiation et les amendes potentielles.

« La confiance des utilisateurs repose sur la capacité à protéger les informations d’authentification stockées dans le navigateur », souligne le CNIL dans son bulletin de 2025.

Détecter et mitiger le risque

Indicateurs de compromission (IoC) :

  • Processus Chrome lancé avec les drapeaux --no-sandbox ou --disable-features=RendererCodeIntegrity.
  • Présence inhabituelle de modules de débogage (dbghelp.dll) chargé dans le contexte du navigateur.
  • Augmentation anormale du nombre de lectures de mémoire (ReadProcessMemory) sur les PID de Chrome.
  • Fichiers exécutables nommés de façon aléatoire dans le répertoire %APPDATA% ou %TEMP% contenant des chaînes hexadécimales.

Étapes de mitigation :

  1. Renforcer les politiques de contrôle d’accès : restreindre les droits d’exécution des processus Chrome aux comptes utilisateurs standards via des GPO.
  2. **Activer la surveillance du débogueur : déployer des solutions EDR (ex. SentinelOne, CrowdStrike) qui détectent les appels DebugActiveProcess et SetHardwareBreakpoint.

Pour sécuriser vos données en temps réel sur le poste de travail, consultez : Desktop Overlay AI Compliance** : déployer des solutions EDR (ex. SentinelOne, CrowdStrike) qui détectent les appels DebugActiveProcess et SetHardwareBreakpoint. 3. Isoler les navigateurs : utiliser des conteneurs ou des solutions de virtualisation légère (ex. Windows Sandbox) pour les sessions à risque. 4. Mettre à jour Chrome régulièrement : les correctifs post-June 2024 limitent certains scénarios d’injection, mais la protection contre les breakpoints matériels reste partielle. 5. Audit des extensions : désinstaller toutes les extensions non vérifiées, car certaines peuvent faciliter l’accès au processus du navigateur.

Bonnes pratiques de défense et surveillance proactive

Implémenter le principe du moindre privilège

En pratique, limiter l’usage de comptes administrateurs pour les postes de travail réduit la surface d’attaque. Le service d’élévation Chrome fonctionne déjà avec le compte SYSTEM, mais les processus utilisateurs ne doivent jamais pouvoir interagir directement avec ce service.

Déployer le chiffrement complet du disque (FDE)

Même si l’ABE protège la clé maître sur le disque, le chiffrement complet du disque empêche un attaquant d’accéder aux fichiers de profil Chrome en cas de vol de la machine.

Utiliser des solutions de Password-less authentication

Adopter des protocoles WebAuthn ou FIDO2 diminue la dépendance aux cookies de session, rendant le vol de la clé maître moins exploitable.

Réaliser des tests de pénétration ciblés sur les navigateurs

Les équipes de Red Team doivent inclure des scénarios de breakpoint matériel dans leurs exercices, afin de vérifier la détection par les solutions de sécurité déployées.

Pour en savoir plus sur l’interdiction des outils DIA de nudification et le EU AI Act 2026, consultez : Interdiction des outils DIA de nudification

Tableau comparatif des vecteurs d’attaque contre l’ABE

Méthode d’attaquePrincipe cléDétection typique
Breakpoint matériel (VoidStealer)Interception en temps réel de la clé maîtreAlertes EDR sur DebugActiveProcess
Injection de DLL (ElevationKatz)Chargement d’une DLL malveillante dans ChromeAnalyse de la chaîne de chargement
Exploitation de CVE du service élévationEscalade de privilèges vers SYSTEMSurveillance des appels CreateProcessAsUser
Manipulation du registre (clé de chiffrement)Modification de la clé de chiffrement stockéeAudit du registre HKLM\Software\Google\Chrome
Attaque par side-channel (cache-timing)Extraction indirecte de données via timingMonitoring des patterns de CPU usage

Exemple de code de mise en place d’un breakpoint matériel

// Pseudo-code simplifié illustrant le processus utilisé par VoidStealer
HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pidChrome);
CONTEXT ctx = {0};
ctx.ContextFlags = CONTEXT_ALL;
GetThreadContext(hThread, &ctx);

// Adresse de l’instruction LEA ciblée (obtenue via analyse du DLL)
LPVOID breakpointAddr = (LPVOID)0x7FFB12345678;
// Configuration du breakpoint matériel sur le registre EAX
ctx.Dr0 = (DWORD_PTR)breakpointAddr;
ctx.Dr7 = 0x00000001; // active le premier breakpoint
SetThreadContext(hThread, &ctx);

// Attente du déclenchement du breakpoint
while (!breakpointTriggered) {
    Sleep(10);
}

// Lecture de la clé maître depuis le registre
BYTE masterKey[64];
SIZE_T bytesRead;
ReadProcessMemory(hProc, (LPCVOID)ctx.Eax, masterKey, sizeof(masterKey), &bytesRead);

Ce fragment montre comment le débogueur configure le registre DR0 pour intercepter l’instruction visée, puis lit la mémoire contenant la clé maître.

Conclusion : renforcer la résilience de vos environnements de navigation

Le malware VoidStealer démontre que même les mécanismes de protection avancés comme l’ABE peuvent être contournés par des techniques de bas niveau telles que les points d’arrêt matériels. Pour les organisations françaises, la priorité est d’intégrer une détection comportementale centrée sur les appels de débogueur, de renforcer les politiques de moindre privilège et d’adopter des solutions d’authentification sans mot de passe. En combinant ces mesures avec une veille continue sur les campagnes d’infostealers, vous réduisez significativement le risque de compromission des données de navigation et assurez la conformité aux exigences du RGPD.