Les infostealers modernes exfiltrent les données chiffrées pour les déchiffrer côté serveur, rendant la détection endpoint aveugle

Ce qu’il faut retenir

Les outils de détection endpoint (EDR, AV) ont été construits pour détecter l’accès aux bases de données de credentials locales. Les infostealers ont contourné cette détection en changeant d’approche : au lieu de déchiffrer sur la machine victime, ils exfiltrent les fichiers chiffrés et les déchiffrent sur leur propre infrastructure. L’endpoint ne voit qu’un transfert de fichiers — pas d’accès suspect aux credentials.

Ce pivot a été accéléré par l’App-Bound Encryption de Chrome 127 (juillet 2024), qui a rendu le déchiffrement local encore plus difficile. Les infostealers ont répondu en abandonnant complètement cette étape.

Côté défense, surveiller l’accès aux bases SQLite de credentials ne suffit plus. La détection doit se porter sur l’exfiltration elle-même — anomalies réseau, comportements mémoire — pas sur l’accès aux fichiers.

MITRE ATT&CK : T1555.003 (Credentials from Web Browsers), T1041 (Exfiltration Over C2 Channel)

Illustrations

Cas 1 : Storm infostealer (2026)

Ce qui s’est passé : Storm, apparu début 2026, traite les bases de credentials Chromium et Gecko (Firefox, Waterfox, Pale Moon) entièrement côté serveur. Contrairement à StealC V2 qui traite encore Firefox localement, Storm exfiltre tout chiffré vers l’infrastructure de l’opérateur avant déchiffrement. Tout s’exécute en mémoire pour réduire les traces.

Pourquoi c’est arrivé : L’App-Bound Encryption de Chrome 127 (juillet 2024) a lié les clés de chiffrement au processus Chrome lui-même. Les premières tentatives de bypass (injection dans Chrome, abus du protocole de debug) laissaient des traces détectables. La solution : ne plus déchiffrer localement du tout.

Conséquences : Les outils endpoint qui surveillaient l’accès aux bases SQLite de credentials ne voient rien. Storm peut opérer sans déclencher les signatures traditionnelles des infostealers.

Articles liés

• The silent Storm — BleepingComputer — angle : présentation de Storm et du pattern server-side decryption
• A Quiet Storm — Varonis Threat Labs — angle : analyse technique complète + MITRE ATT&CK mapping

Principes liés

• Voler une session authentifiée est plus précieux que voler un mot de passe — elle bypasse le MFA et donne un accès immédiat
• Un navigateur compromis donne accès à tous les services où l’utilisateur est authentifié sans avoir besoin d’un seul mot de passe
• La commercialisation des outils d’attaque met des techniques avancées à portée d’acteurs non spécialisés