C’est le premier malware de ce type observé en conditions réelles, et la crainte est que d’autres l’imitent rapidement.
Son nom ? VoidStealer, un infostealer spécialisé dans le vol de mots de passe, cookies et identifiants stockés dans les navigateurs, qui vient de se doter d’une nouvelle stratégie. L’alerte a été lancée par Gen Threat Labs, branche sécurité du groupe Gen Digital (Norton, Avast), dans une analyse technique détaillée publiée le 19 mars 2026.
Apparu mi-décembre 2025, ce Malware-as-a-Service, vendu à d’autres criminels sur des forums spécialisés, a connu onze versions en trois mois. C’est la version 2.0, publiée le 13 mars, qui introduit la technique ayant alerté les chercheurs : au lieu d’injecter du code dans le navigateur, il s’y attache désormais comme un débogueur légitime.
La clé maîtresse dans le viseur
VoidStealer a un but précis lorsqu’il cible les navigateurs Chrome de ses victimes : la clé maîtresse v20_master_key.
Introduite en juillet 2024, avec la nouvelle méthode de chiffrement Application-Bound Encryption (ABE), elle permet à Chrome de chiffrer mots de passe et cookies, et est protégée par les droits du compte système le plus privilégié de Windows.
Un logiciel malveillant tournant sous une session normale ne peut pas y accéder directement. Sauf qu’au démarrage du navigateur, Chrome doit déchiffrer cette clé pour charger les cookies. Pendant un bref instant, elle existe en clair dans la mémoire. C’est là que VoidStealer frappe.
Le malware lance Chrome en mode caché, puis s’y attache comme débogueur, un rôle légitime aux yeux du système. Il localise l’endroit précis dans le code du navigateur où la clé sera accessible, pose des points d’arrêt matériels sur tous les threads de Chrome sans jamais modifier sa mémoire, et attend. Quand le point d’arrêt se déclenche, il lit la clé en deux opérations. Avec elle, toutes les données chiffrées par Chrome sont déchiffrables.
Ce qui rend cette approche redoutable, c’est qu’elle ne comporte ni injection de code, ni élévation de privilèges. Aucun des signaux que les outils de sécurité cherchent habituellement.
VoidStealer s’adapte aux modifications de Chrome
Cette affaire relève d’une évolution dans le jeu du chat et de la souris constant qui oppose Chrome aux acteurs malveillants. En juillet 2024, Google avait déployé l’Application-Bound Encryption précisément pour forcer les attaquants à des actions plus visibles et détectables. Le mécanisme a globalement tenu son rôle jusqu’ici. Les contournements existants nécessitaient soit des droits système élevés, soit une injection de code dans le navigateur.
VoidStealer démontre qu’il est possible de faire sans. Et sa technique n’est pas une invention maison : elle a été directement adaptée d’ElevationKatz, un projet open source disponible librement depuis plus de six mois.
VoidStealer est simplement le premier malware à l’avoir utilisée en conditions réelles. Maintenant que son efficacité est prouvée, rien n’empêche d’autres groupes de l’adopter. La course continue.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !