L’approche de VoidStealer cible une couche de protection importante dans Chrome : l’Application-Bound Encryption (ABE). Cette technique, introduite par Google en 2024, garantit que les données sensibles, telles que les cookies, restent chiffrées et que la clé correspondante n’est pas accessible à tout va. En théorie, cette « clé principale » ne pourrait être déchiffrée que par un processus système disposant de droits élevés. Dans la pratique, cela ne s’avère donc pas infaillible.
VoidStealer utilise intelligemment un débogueur
Ce qui distingue VoidStealer, c’est la manière dont il contourne cette protection. Au lieu de recourir à des techniques classiques telles que l’injection de code ou l’obtention de droits supplémentaires, le malware utilise une astuce de débogage. Concrètement, il lance un processus de navigateur caché et « écoute » à un moment très précis : lorsque Chrome conserve temporairement la clé en mémoire pour déchiffrer des données. Grâce à ce qu’on appelle des points d’arrêt matériels, le malware parvient à détecter ce moment précis. À ce moment-là, il se contente de lire la clé dans la mémoire. Il ne s’agit donc pas d’un piratage complexe, mais simplement d’une surveillance parfaitement synchronisée.
Selon les chercheurs de Gen Digital, c’est la première fois qu’un infostealer utilise efficacement cette technique dans des attaques réelles. L’idée en elle-même n’est pas tout à fait nouvelle. Des méthodes similaires circulaient déjà dans des outils open source, mais c’est la première fois que des cybercriminels appliquent cette méthode à grande échelle. VoidStealer est lui-même proposé sous la forme d’un « malware-as-a-service », ce qui signifie que même des attaquants moins expérimentés peuvent l’utiliser.
Le jeu du chat et de la souris continue
Cette découverte montre une fois de plus à quel point il est difficile de rendre les navigateurs totalement inviolables. Les couches de sécurité telles que l’ABE compliquent considérablement la tâche des attaquants, mais ne la rendent pas impossible. Cela reste donc un jeu du chat et de la souris : toute nouvelle protection est tôt ou tard testée (et parfois même piratée) par des attaquants qui font preuve d’une créativité sans cesse croissante.
Pour les utilisateurs, les conseils de base restent les mêmes : maintenez votre navigateur à jour, soyez prudent avec les téléchargements suspects et n’installez que des extensions et des logiciels auxquels vous faites confiance. Car même la meilleure sécurité est rarement d’une grande aide une fois que le malware a réussi à s’introduire.
