Résumer l'article

C’est le premier malware de ce type observé en conditions réelles, et la crainte est que d’autres l’imitent rapidement.

Son nom ? VoidStealer, un infostealer spécialisé dans le vol de mots de passe, cookies et identifiants stockés dans les navigateurs, qui vient de se doter d’une nouvelle stratégie. L’alerte a été lancée par Gen Threat Labs, branche sécurité du groupe Gen Digital (Norton, Avast), dans une analyse technique détaillée publiée le 19 mars 2026.

Apparu mi-décembre 2025, ce Malware-as-a-Service, vendu à d’autres criminels sur des forums spécialisés, a connu onze versions en trois mois. C’est la version 2.0, publiée le 13 mars, qui introduit la technique ayant alerté les chercheurs : au lieu d’injecter du code dans le navigateur, il s’y attache désormais comme un débogueur légitime.

Faux SMS, mails frauduleux… Ne tombez plus dans le piège !

Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.

VoidStealer proposé sur un forum du Dark Web. // Source : Gen Threat Labs

La clé maîtresse dans le viseur

VoidStealer a un but précis lorsqu’il cible les navigateurs Chrome de ses victimes : la clé maîtresse v20_master_key.

Introduite en juillet 2024, avec la nouvelle méthode de chiffrement Application-Bound Encryption (ABE), elle permet à Chrome de chiffrer mots de passe et cookies, et est protégée par les droits du compte système le plus privilégié de Windows.

Un logiciel malveillant tournant sous une session normale ne peut pas y accéder directement. Sauf qu’au démarrage du navigateur, Chrome doit déchiffrer cette clé pour charger les cookies. Pendant un bref instant, elle existe en clair dans la mémoire. C’est là que VoidStealer frappe.

Le malware lance Chrome en mode caché, puis s’y attache comme débogueur, un rôle légitime aux yeux du système. Il localise l’endroit précis dans le code du navigateur où la clé sera accessible, pose des points d’arrêt matériels sur tous les threads de Chrome sans jamais modifier sa mémoire, et attend. Quand le point d’arrêt se déclenche, il lit la clé en deux opérations. Avec elle, toutes les données chiffrées par Chrome sont déchiffrables.

Ce qui rend cette approche redoutable, c’est qu’elle ne comporte ni injection de code, ni élévation de privilèges. Aucun des signaux que les outils de sécurité cherchent habituellement.

VoidStealer s’adapte aux modifications de Chrome

Cette affaire relève d’une évolution dans le jeu du chat et de la souris constant qui oppose Chrome aux acteurs malveillants. En juillet 2024, Google avait déployé l’Application-Bound Encryption précisément pour forcer les attaquants à des actions plus visibles et détectables. Le mécanisme a globalement tenu son rôle jusqu’ici. Les contournements existants nécessitaient soit des droits système élevés, soit une injection de code dans le navigateur.

VoidStealer démontre qu’il est possible de faire sans. Et sa technique n’est pas une invention maison : elle a été directement adaptée d’ElevationKatz, un projet open source disponible librement depuis plus de six mois.

VoidStealer est simplement le premier malware à l’avoir utilisée en conditions réelles. Maintenant que son efficacité est prouvée, rien n’empêche d’autres groupes de l’adopter. La course continue.