Il n'y a pas longtemps, Google a renforcé Chrome avec une fonction conçue pour protéger les données sensibles telles que les cookies et les identifiants: Chiffrement par application (EBA), une couche qui maintient la clé maître cryptée sur le disque et nécessite un service avec des privilèges système pour le déchiffrer. L'idée était de fermer un chemin d'accès que les voleurs d'informations exploitaient depuis des années. Cependant, les chercheurs en sécurité ont détecté un nouvel acteur qui a trouvé une façon différente et furtive de vaincre cette barrière.
La constatation est documentée par Gen Digital, la société mère de Norton, Avast, AVG et Avira. Son rapport décrit comment une plate-forme de malware disponible comme un service - connu sous le nom de VoidStealer - a incorporé une technique de débogage pour capturer l'appel clé _ maître v20 directement à partir de la mémoire du navigateur, au moment exact il apparaît dans le texte plat pendant un processus de déchiffrement légitime.
La nouveauté clé n'est pas dans la capacité de lire la mémoire - les techniques d'extraction des clés avaient déjà été démontrées dans les outils open source - mais dans la forme: VoidStealer démarre un processus de navigateur dans un état suspendu et caché, l'attache comme débogueur et attend un module important (par exemple chrome.dll ou msedge.dll) à charger. De là il localise une instruction spécifique qui renvoie un texte connu dans la DLL et place un point d'interruption matérielle à propos de cette adresse.
Un point d'arrêt matériel est différent des méthodes classiques d'injection de code ou de levée de privilège; il agit au niveau du processeur et peut temporairement arrêter l'exécution d'un thread lorsqu'il atteint une instruction donnée. VoidStealer applique ce mécanisme à tous les threads du processus cible et attend que l'instruction marquée soit exécutée pendant le démarrage du navigateur - quand il force la lecture précoce et le décryptage des données protégées. À ce moment, le malware lit les enregistrements de thread pour obtenir un pointeur vers le bloc mémoire qui contient la clé maître claire et la copie hors-processus avec des appels système légitimes comme ReadProcessMemory. Le résultat est que sans les privilèges d'escalade ou d'injection de code, les attaquants obtiennent la clé nécessaire pour déchiffrer les cookies et autres secrets stockés par le navigateur.
Selon Gen Digital, ce comportement n'est pas venu de rien: la technique a des similitudes avec les composants open source tels queÉlévationKatz, partie intégranteChromeKatzqui a déjà démontré des faiblesses pratiques dans la protection des données de Chrome. La différence dangereuse est que cette technique est maintenant passée du laboratoire au marché criminel, intégré dans un produit MaaS qui est annoncé dans des forums clandestins depuis la fin de 2025 et que dans sa version 2.0 a ajouté ce contournement.
L'affaire met en évidence un point important de la sécurité moderne: les mesures d'atténuation qui protègent les secrets au repos peuvent être violées au moment exact où une application légitime effectue des opérations légitimes pour les déchiffrer. Le problème n'est pas seulement le chiffrement du disque, mais le contrôle des processus qui font le déchiffrement.. Si un attaquant peut observer ces processus de l'intérieur - même sans privilèges élevés - il peut capturer les clés dès qu'ils se matérialisent en mémoire.
Les dirigeants Chrome ont déployé des corrections et des difficultés pour fermer les techniques connues, et le concept EBA lui-même était un pas en avant contre les attaques triviales. Cependant, l'émergence de vecteurs à base de purification et de matériel de point d'arrêt montre que le jeu du chat et de la souris continue : les défenseurs couvrent des trous, les chercheurs publient des tests de concept, et les criminels intègrent parfois ces tests dans des outils commerciaux.
Pour les utilisateurs et les équipements de sécurité, cela a plusieurs implications pratiques. Tout d'abord, garder le navigateur et le système d'exploitation à jour reste la première ligne de défense, parce que de nombreux correctifs incluent durcissement contre les techniques de manipulation de processus. Deuxièmement, la détection d'activités qui tentent d'énumérer, d'attacher ou de purifier des processus légitimes devrait faire partie de l'ensemble de contrôles; les points d'interruption matérielle sont plus difficiles à détecter que les techniques d'injection, mais ils ne sont pas impossibles pour les solutions avancées de DDR et les politiques d'intégrité du système. Enfin, limiter l'exécution de binaires inconnus et appliquer des mesures de principe moins privilégiées réduit l'exposition à de telles menaces.
Si vous voulez lire l'analyse technique qui a mené à cette nouvelle, Gen Digital a publié un rapport décrivant la chaîne d'événements et la logique de l'agresseur: Gen Rapport numérique sur VoidStealer. Pour voir la pièce open source qui a inspiré la technique, le projet ChromeKatz et son composant ElevationKatz sont disponibles dans GitHub: Dépôt ChromeKatz. Il peut également être utile de consulter les notes officielles des versions Chrome dans lesquelles des améliorations de sécurité liées à EBA ont été introduites, disponibles sur le blog de la version Google: Chrome sort.
Le message final est sobre : les défenses appliquées au stockage sûr des secrets sont nécessaires mais ne suffisent pas à elles seules. Les attaques qui observent et profitent des périodes légitimes de poursuites exigent une défense qui combine des patchings constants, la surveillance du comportement et des contrôles d'exécution stricts. Et alors que les chercheurs continuent de publier des techniques et des tests de concept, les développeurs de navigateurs et les équipes de sécurité devront adapter leurs stratégies pour rendre ces temps d'exposition de plus en plus difficiles à exploiter.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...