Un nouveau virus a trouvé le moyen de contourner les protections de Chrome. Baptisé VoidStealer, le malware parvient à voler la clé maîtresse qui protège vos cookies et sessions, ouvrant potentiellement l’accès à l’ensemble de vos comptes en ligne. Diffusé sous forme d’abonnement « malware-as-a-service » sur le dark web, il inaugure une technique de piratage suffisamment discrète pour inquiéter les chercheurs.
Un virus intitulé VoidStealer s’attaque actuellement à Google Chrome. Épinglé par les chercheurs de Gen Digital, le malware est un infostealer, c’est-à-dire un logiciel malveillant spécialisé dans le vol de données. Il est massivement mis à disposition des cybercriminels par le biais d’un abonnement de type « malware-as-a-service ». Le virus est apparu sur des forums du dark web depuis au moins décembre 2025.
À lire aussi : 26 failles ont été découvertes dans Chrome, dont 3 vulnérabilités critiques
Une clé de chiffrement dans le viseur
Surtout conçu pour récupérer des données sensibles stockées dans les navigateurs, en particulier Google Chrome et Microsoft Edge, VoidStealer cible surtout un élément bien précis : la v20_master_key. Il s’agit de la clé maîtresse de chiffrement/déchiffrement que Chrome utilise pour protéger les cookies et autres données sensibles par ses soins.
Une fois récupérée par des pirates, la clé peut permettre de se faire passer pour le navigateur et de déchiffrer toutes les données protégées. Les hackers obtiennent ainsi un accès à des sessions actives de vos comptes, sans devoir utiliser des identifiants ou des codes d’authentification multifactorielle. C’est la clé pour tous les comptes connectés dans Chrome… et donc une grande partie de votre vie numérique.
Une protection Google sur la route du virus
Le malware se distingue par une arme de taille. Dans son arsenal, on trouve en effet un mécanisme qui lui permet de contourner le mécanisme de chiffrement lié à Application‑Bound Encryption (ABE) de Chrome. C’est le mécanisme de protection de Google pensé pour défendre les cookies et données sensibles contre les malwares. Lancé en juin 2024, le mécanisme est en réalité conçu pour protéger la fameuse v20_master_key de Chrome contre les cyberattaques.
Concrètement, ABE va stocker et chiffrer la clé dans les fichiers du profil Chrome. De facto, un attaquant qui parvient à récupérer la clé se retrouve dans l’incapacité de s’en servir. Pour utiliser la clé, Chrome doit demander l’autorisation d’un service bien précis, celui d’élévation des privilèges. Ce service vérifie que la demande vient bien du vrai navigateur Chrome. Si c’est le cas, il déchiffre la clé et la transmet au navigateur pour qu’il puisse lire les cookies et données protégées. Ce mécanisme doit éviter qu’un virus se fasse passer pour Chrome et mette la main sur la clé. Au moment où Chrome obtient l’autorisation d’utiliser la clé, celle-ci se retrouve brièvement dans la mémoire du navigateur.
À lire aussi : Cyberattaque russe sur Chrome – ce malware astucieux est capable de piéger les internautes les plus vigilants
Une cyberattaque avec un timing bien précis
C’est à ce moment-là que VoidStealer passe à l’offensive. VoidStealer contourne le mécanisme de protection de Google en ne s’attaquant pas au chiffrement sur le disque, mais en réagissant au moment précis où Chrome manipule la clé en mémoire.
Le malware commence par ouvrir une fenêtre invisible sur Chrome. L’utilisateur ne voit rien apparaître à l’écran. Il ne peut donc pas se rendre compte qu’un virus se prépare à passer à l’offensive. En se faisant passer pour un débogueur, un outil utilisé par les développeurs pour surveiller un programme de l’intérieur, le virus va se greffer au processus de fenêtre invisible. Le malware se « greffe au navigateur comme un débogueur légitime », ce qui « brouille la frontière entre activité légitime et comportement malveillant », et complique la tâche des solutions de sécurité. Il est ainsi en mesure d‘observer la mémoire du navigateur en temps réel. Une fois qu’il s’est tapi dans l’ombre, le malware va faire preuve de patience.
Le virus va attendre que Chrome redémarre. Le navigateur est en effet obligé de charger les cookies protégés par ABE. Il est donc obligé de déchiffrer la clé maîtresse à ce moment-là. Une fois que Chrome obtient la clé, celle-ci se retrouve brièvement en clair dans un registre du processeur. VoidStealer l’intercepte à ce moment-là. Il va alors copier la clé depuis la mémoire de Chrome dans sa propre mémoire, ce qui lui permet ensuite de déchiffrer les cookies et autres données stockés dans le navigateur.
Une nouvelle tendance
Comme le soulignent les chercheurs, il ne s’agit pas du premier malware à trouver le moyen de contourner le mécanisme de protection de la clé maitresse. Plusieurs familles de logiciels malveillants voleurs d’informations ont berné l’outil après son introduction dans Chrome 127. C’est par contre « le premier voleur d’informations observé en conditions réelles à utiliser cette nouvelle technique de contournement », explique Vojtěch Krejsa, chercheur chez Gen Digital. L’astuce provient probablement d’outils open source, comme ChromeKatz/ElevationKatz.
Contrairement aux « méthodes de contournement classiques », la technique « utilisée par VoidStealer ne nécessite ni élévation de privilèges ni injection de code, ce qui la rend nettement plus discrète », détaille Gen Digital dans son rapport. Tout porte à croire que « d’autres familles de malwares suivront rapidement la même voie », mettent en garde les chercheurs. Pour éviter de se retrouver piraté par VoidStealer, les experts recommandent de garder un œil sur tous les processus de Chrome, en particulier les processus en arrière-plan. Ceux-ci sont référencés dans le gestionnaire de tâches du navigateur.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
GenDigital