Voidstealer 2.0 dérobe les clés secrètes de chrome sous le nez des antivirus

Publié le 30/03/2026 04:50 dans technologie Laurent Berbon

Chrome dort, la clé maîtresse flotte en clair dans la RAM, et VoidStealer 2.0 la cueille sans la moindre alarme. Gen Digital vient de débusquer cette version mutante qui, pour la première fois, contourne l’Application-Bound Encryption de Google en s’accrochant à un processus suspendu du navigateur.

Processus fantôme et débugger invisible

La manœuvre est d’une délicatesse chirurgicale. Le malware lance une instance cachée de chrome.exe, l’attend en léthargie, puis s’y greffe en tant que débugger légitime. Quand l’utilisateur ouvre sa session, les composants critiques se déchiffrent un bref instant. Ce millième de seconde suffit : la clé de cryptage est aspirée en texte clair, sans injection de code, sans hook, sans laisser de artefacts sur disque.

Résultat : les solutions EDR, pourtant bardées d’heuristiques, n’ont aucun comportement anormal à signaler. Pas de nouvelle DLL, pas de processus fils suspicieux, juste une trace dans la mémoire qui s’évapore avant que l’analyste ait fini sa gorgée de café.

De la thèse à la botnet réelle

De la thèse à la botnet réelle

Les universitaires avaient théorisé l’attaque en 2022 lors d’un papier sur les failles de la mémoire des navigateurs. VoidStealer 2.0 bascule la preuve de concept dans le camp des cybercriminels. Les premières campagnes repérées ciblent l’Europe de l’Est, mais les échantillons circulent déjà sur des forums clos en russe, prix : 2 000 dollars la licence mensuelle.

Google garde le silence. Aucun patch en vue, aucune mention dans le bulletin mensuel de sécurité. Entre-temps, les gestionnaires de mots de passe intégrés à Chrome exposent non seulement les identifiants stockés, mais aussi les cookies de session bancaires et les certificats client. Un coffre-fort entier livré sur un plateau.

La parade ? Isoler chrome.exe dans un bac à sable externe ou basculer vers un navigateur à clé maîtresse hors reach. Pour le reste, comptez vos données comme déjà en fuite : 1,3 milliard d’utilisateurs actifs de Chrome représentent une surface de tir que les gangs de ransomware n’ont pas fini de fouiller.