Chrome avait justement renforcé la protection de ses cookies et autres données sensibles pour compliquer la tâche des infostealers. Peine perdue. Un malware baptisé VoidStealer exploite déjà une nouvelle méthode pour récupérer la clé de déchiffrement du navigateur, sans élévation de privilèges ni injection de code.
Quand Google a déployé l’App-Bound Encryption dans Chrome à l’été 2024, il s’agissait avant tout d’empêcher les malwares exécutés avec de simples droits utilisateur de récupérer un peu trop facilement les cookies, identifiants et autres données sensibles stockées dans le navigateur. La marche était nettement relevée, mais les infostealers ont vite cherché d’autres chemins, et VoidStealer en offre aujourd’hui une sacrée démonstration. D’après Gen Digital, il s’agit du premier stealer observé en conditions réelles à utiliser une technique de débogage capable d’intercepter la clé maîtresse de Chrome au moment précis où le navigateur la manipule en mémoire.
Chrome a relevé la garde, VoidStealer a changé d’angle
Avec Chrome 127 sur Windows, Google a introduit l’App-Bound Encryption, ou ABE, pour mieux protéger les données sensibles stockées dans le navigateur. Cookies, identifiants, mots de passe et informations de paiement sont chiffrés à l’aide d’une clé maîtresse, utilisée pour les rendre lisibles au moment voulu. L’objectif était de ne plus laisser ces secrets dépendre des seules protections liées au compte utilisateur connecté. Pour les déchiffrer, les navigateurs Chromium passent désormais par un service système capable de vérifier qu’une demande provient bien d’un processus légitime du navigateur en question. À l’époque, Google expliquait que cette approche devait d’abord compliquer le vol de cookies, avant d’être étendue à d’autres types de données sensibles.
VoidStealer ne cherche pourtant pas à s’attaquer frontalement à ce dispositif. Le malware attend un moment bien plus favorable, celui où Chrome doit justement manipuler cette clé maîtresse en clair dans sa mémoire pour accéder aux informations qu’elle protège.
Pour y parvenir, le stealer lance un processus Chrome ou Edge de manière cachée, puis utilise les fonctions de débogage de Windows pour en suivre l’exécution. Il attend ensuite le chargement de la bibliothèque principale du navigateur, chrome.dll ou msedge.dll, puis identifie le passage du code associé à la routine de déchiffrement.
En stoppant brièvement le navigateur à cet instant précis, il peut récupérer la clé maîtresse au moment exact où elle apparaît en clair dans la mémoire du processus. Le tout repose sur une méthode relativement discrète, qui ne nécessite ni élévation de privilèges ni injection de code dans le navigateur, deux techniques généralement plus faciles à repérer.
D’après Gen Digital, les cybercriminels derrière VoidStealer n’ont sans doute pas inventé cette méthode eux-mêmes, mais l’ont plutôt adaptée à partir d’outils open source déjà publics.
Comment éviter le pire face aux infostealers
Il n’existe pas de parade miracle côté utilisateur ou utilisatrice face à une machine déjà compromise par un infostealer. Le premier réflexe consiste à maintenir Chrome, Edge et Windows à jour, même si l’ABE n’a rien d’une protection infaillible.
La suite relève de précautions plus classiques, mais elles évitent encore bien des ennuis. Évitez les téléchargements douteux, les cracks et les archives récupérées en dehors des canaux officiels, qui restent des vecteurs d’infection très courants pour ce type de malware.
Activez l’authentification à deux facteurs partout où c’est possible, en particulier sur les messageries, les services cloud et les comptes professionnels. Cela ne bloque pas toujours le vol de session via les cookies, mais complique au moins la réutilisation de certains accès.
Et surtout, évitez de transformer votre navigateur en coffre-fort universel. Plus il centralise de mots de passe, de sessions actives, de cartes enregistrées et d’identifiants sensibles, plus il devient une cible de choix pour les infostealers. Un gestionnaire de mots de passe indépendant offre en général un cadre plus sûr pour stocker ce type d’informations.
En cas de doute sur une infection, il faut agir vite. Déconnectez la machine d’Internet, lancez une analyse complète avec votre solution de sécurité, changez vos mots de passe depuis un appareil sain, révoquez les sessions actives sur les principaux services et surveillez les connexions inhabituelles.
Source : Gen Digital
L’App-Bound Encryption (ABE) est un mécanisme qui « lie » la capacité de déchiffrer certaines données (cookies, mots de passe, moyens de paiement) à l’application navigateur elle-même, et pas seulement au profil Windows de l’utilisateur. Concrètement, même si un malware tourne avec les droits du compte, il est censé avoir plus de mal à demander le déchiffrement des secrets stockés. Chrome s’appuie pour cela sur un service système qui vérifie l’origine de la requête et tente d’empêcher un processus non légitime d’obtenir les clés. L’idée est de relever la barre face au vol automatisé de données par des infostealers, sans reposer uniquement sur les protections du compte Windows.
Pourquoi une « clé maîtresse » doit-elle parfois apparaître en clair dans la mémoire de Chrome ?Même si les données sont chiffrées sur disque, elles doivent être déchiffrées au moment où le navigateur en a besoin (par exemple pour envoyer un cookie à un site). Pour effectuer ce déchiffrement, la clé maîtresse ou des dérivés de cette clé doivent être utilisables par le code, ce qui implique qu’ils existent sous une forme exploitable en mémoire (RAM) pendant un court instant. C’est un compromis classique : le chiffrement protège surtout le stockage et l’accès hors ligne, mais pas un logiciel déjà en train d’utiliser le secret. Les attaques dites « memory scraping » ou d’interception à l’exécution cherchent précisément à viser cette fenêtre temporelle.
Que permet le débogage Windows dans ce type d’attaque, et pourquoi l’absence d’injection de code ou d’élévation de privilèges compte ?Les fonctions de débogage de Windows permettent d’observer et de contrôler finement un processus : pause à des points précis, inspection de mémoire, suivi du chargement de bibliothèques, etc. Un malware peut s’en servir pour attendre l’exécution d’une routine sensible (comme une fonction de déchiffrement) et lire la donnée au moment où elle transite en mémoire. Ne pas injecter de code évite de modifier le processus cible, ce qui réduit certains indicateurs de compromission courants. Ne pas demander d’élévation de privilèges rend aussi l’attaque plus simple à déployer sur une machine où l’utilisateur n’a pas de droits administrateur, et parfois moins bruyante pour les outils de sécurité.
