Selon Darknet.org.uk, DumpBrowserSecrets est présenté comme un outil capable d’extraire des données sensibles stockées par les principaux navigateurs, en contournant des mécanismes de protection.

DumpBrowserSecrets : extraction de secrets stockés dans les navigateurs

Présentation

DumpBrowserSecrets est un outil de post-exploitation développé par Maldev Academy permettant d’extraire des identifiants et données sensibles stockés dans les navigateurs web.

Il s’agit du successeur de DumpChromeSecrets, étendu pour fonctionner avec plusieurs navigateurs utilisés en entreprise.

Navigateurs supportés :

  • Chrome
  • Microsoft Edge
  • Brave
  • Opera
  • Opera GX
  • Vivaldi
  • Firefox

L’outil permet d’extraire ces informations depuis un seul exécutable Windows.

Pourquoi les navigateurs sont une cible critique

Les navigateurs modernes servent de coffres-forts d’identifiants.

Ils stockent notamment :

  • mots de passe enregistrés
  • cookies de session
  • tokens OAuth
  • numéros de carte bancaire
  • données d’autocomplétion
  • historique de navigation
  • favoris

Ces informations sont stockées dans :

  • bases SQLite
  • fichiers JSON

Sur une machine compromise, ces données permettent :

  • prise de contrôle de comptes cloud
  • accès SaaS sans mot de passe
  • mouvement latéral dans le réseau

Différence avec Mimikatz

Outil Cible
Mimikatz LSASS, SAM, identifiants Windows
DumpBrowserSecrets identifiants stockés dans les navigateurs

Dans de nombreuses entreprises modernes :

  • les applications utilisent SSO
  • les accès passent par SaaS et navigateur

Le navigateur devient donc la source principale de secrets exploitables.

Architecture de l’outil

DumpBrowserSecrets comporte deux composants :

D D u l m l p E B x r t o r w a s c e t r C S h e r c o r m e i t u s m . S e e x c e r e t s . d l l

Fonctionnement :

  1. lancement de l’exécutable
  2. création d’un processus navigateur headless
  3. injection DLL
  4. récupération de la clé de chiffrement
  5. déchiffrement des bases SQLite
  6. export des données en JSON

Contournement de App-Bound Encryption

Depuis Chrome 127, Google a introduit :

App-Bound Encryption

Cette protection lie les clés de chiffrement :

  • à l’application Chrome
  • à l’identité du processus

La clé chiffrée est stockée dans :

L a o p c p a _ l b o S u t n a d t _ e e n c r y p t e d _ k e y

Elle ne peut être déchiffrée que via :

I E l e v a t o r C O M i n t e r f a c e

DumpBrowserSecrets contourne cette protection en :

  1. lançant un processus Chromium headless
  2. injectant la DLL via Early Bird APC injection
  3. utilisant IElevator COM depuis le contexte du navigateur
  4. récupérant la clé déchiffrée

Méthodes de déchiffrement par navigateur

Chromium (Chrome / Edge / Brave)

Chiffrement :

A p p - B o u n d E n c r y p t i o n ( V 2 0 )

Technique utilisée :

  • injection DLL
  • récupération clé via IElevator COM

Opera / Opera GX / Vivaldi

Chiffrement :

D P A P I ( V 1 0 )

Technique :

  • récupération clé DPAPI
  • déchiffrement local

Firefox

Chiffrement :

N A S E S S - ( 2 N 5 e 6 t - w C o B r C k o S u e c 3 u D r E i S t - y C B S C e r v i c e s )

Extraction directe par l’exécutable.

Données extraites

Chromium (Chrome / Edge / Brave)

  • cookies
  • identifiants enregistrés
  • cartes bancaires
  • tokens OAuth
  • autofill
  • historique
  • favoris

Opera / Vivaldi

  • cookies
  • logins
  • cartes bancaires
  • tokens OAuth
  • autofill
  • historique
  • favoris

Firefox

  • cookies
  • identifiants
  • tokens OAuth
  • autofill
  • historique
  • favoris

Format de sortie

Les données sont exportées au format :

J S O N

Nom du fichier par défaut :

< b r o w s e r > D a t a . j s o n

Option personnalisée :

< f i l e >

Utilisation

Syntaxe

D u m p B r o w s e r S e c r e t s . e x e [ o p t i o n s ]

Options

/ / b a ? : l < < l b f r i o l w e s > e r > N F E A a i x i v c p d i h o e g i r a e t t r e c u d o r e m p c s l i o e b r t l t e i e

Navigateurs possibles :

c e b o o v f a h d r p p i i l r g a e e v r l o e v r r a e m e a a l f e g d o x i x

Exemples

Extraction du navigateur par défaut :

D u m p B r o w s e r S e c r e t s . e x e

Extraction Chrome :

D u m p B r o w s e r S e c r e t s . e x e / b : c h r o m e

Extraction complète Firefox :

D u m p B r o w s e r S e c r e t s . e x e / b : f i r e f o x / a l l

Extraction tous navigateurs :

D u m p B r o w s e r S e c r e t s . e x e / b : a l l / a l l

Scénario d’attaque réaliste

Un attaquant compromet un poste développeur.

L’utilisateur est connecté à :

  • GitHub
  • AWS
  • Okta
  • GitLab interne

LSASS est protégé par Credential Guard, donc Mimikatz échoue.

L’attaquant exécute :

D u m p B r o w s e r S e c r e t s . e x e / b : a l l / a l l C : \ U s e r s \ P u b l i c \ o u t . j s o n

Résultat :

  • cookies de session actifs
  • tokens OAuth
  • identifiants enregistrés
  • données internes

L’attaquant peut ensuite :

  • rejouer les sessions cloud
  • accéder aux comptes SaaS
  • se déplacer latéralement.

Techniques d’évasion

DumpBrowserSecrets intègre plusieurs techniques pour éviter la détection :

  • obfuscation de chaînes
  • API hashing
  • PPID spoofing
  • argument spoofing
  • injection Early Bird APC
  • duplication de handles
  • parser SQLite custom (SQLoot)

Objectif :

réduire la détection par EDR.

Opportunités de détection

Signaux suspects :

Injection processus navigateur

P r o c e s s i n j e c t i o n i n t o C h r o m i u m

Lancement navigateur headless

en dehors de :

  • CI/CD
  • automation

Accès aux bases SQLite

fichiers surveillés :

L C W o o e g o b i k n i D e a D s t a a t a

Appels COM suspects

I E l e v a t o r C O M i n t e r f a c e

par un processus non navigateur.

Mesures de mitigation

Utiliser un gestionnaire de mots de passe externe

Exemples :

  • Bitwarden Desktop
  • 1Password
  • KeePass

Ces solutions stockent les secrets hors navigateur.

Sécurité endpoint

  • surveillance injection processus
  • détection appels IElevator
  • protection bases SQLite navigateur

Gestion des identifiants

  • éviter stockage mot de passe navigateur
  • rotation tokens OAuth
  • MFA systématique.

Conclusion

DumpBrowserSecrets illustre une évolution importante des attaques post-exploitation :

le navigateur est désormais une cible plus intéressante que LSASS.

Avec la généralisation :

  • du SSO
  • des SaaS
  • des sessions cloud persistantes

la compromission d’un simple navigateur peut donner accès à l’ensemble de l’environnement d’une organisation.

Tester ce type d’attaque est essentiel pour comprendre le véritable impact d’un poste développeur compromis.

Type d’article et but: présentation d’un nouvel outil axé sur l’extraction de données de navigateurs et le contournement de protections.

🔗 Source originale : https://www.darknet.org.uk/2026/03/dumpbrowsersecrets-browser-credential-harvesting-with-app-bound-encryption-bypass/

🖴 Archive : https://web.archive.org/web/20260312081143/https://www.darknet.org.uk/2026/03/dumpbrowsersecrets-browser-credential-harvesting-with-app-bound-encryption-bypass/