Google a présenté les identifiants de session liés à l'appareil avec Chrome 146 pour Windows. Cette fonctionnalité de sécurité rend impossible l'utilisation de cookies de session volés sur une autre machine en les liant cryptographiquement au matériel d'un appareil.

Le support pour macOS n'a pas encore été annoncé. Cette fonctionnalité a été annoncée pour la première fois en 2024 et a été développée en collaboration avec Microsoft en tant que norme web ouverte.

Comment fonctionne le DBSC dans Chrome 146 ?

Le DBSC lie la session de navigation d'un utilisateur au matériel de sécurité de l'appareil ; cela correspond au module de plateforme de confiance sur Windows et à l'espace sécurisé sur macOS. Lors de la création de la session, la puce de sécurité génère une paire de clés publique et privée unique.

Étant donné que la clé privée ne peut pas être exportée de l'appareil, tout cookie de session volé par des logiciels malveillants devient inutilisable ailleurs. Les cookies de session à courte durée de vie ne sont délivrés que lorsque Chrome peut prouver qu'il possède la clé privée correspondante au serveur. Sans cette preuve, les cookies compromis expireront et ne pourront pas être utilisés par l'attaquant pour s'authentifier auprès du service cible.

Pourquoi les cookies de session sont-ils une cible importante pour les logiciels malveillants ?

Les cookies de session fonctionnent comme des jetons d'authentification qui permettent à un navigateur d'accéder à un service en ligne sans nécessiter une connexion continue de l'utilisateur. Les logiciels malveillants tels que LummaC2, qui volent des informations, ciblent ces cookies car ils permettent de contourner complètement le processus de connexion.

Google indique que lorsque les logiciels malveillants accèdent à un ordinateur, ils peuvent lire les fichiers locaux et la mémoire où les navigateurs stockent les cookies d'authentification. Il souligne également qu'une solution entièrement logicielle ne peut pas empêcher complètement les fuites de cookies au niveau du système d'exploitation.

Le DBSC aborde ce problème non pas au niveau logiciel, mais au niveau matériel, rendant ainsi les données volées inutilisables sans accès physique.

Confidentialité du DBSC, processus de test et adoption

Chaque session DBSC génère une clé unique, ce qui aide à empêcher les sites web de lier plusieurs sessions ou les activités sur différents sites sur le même appareil. Le protocole échange la clé publique nécessaire pour prouver la propriété par session et ne partage pas les identifiants de l'appareil.

Au cours de l'année écoulée, Google a testé une version précoce du DBSC sur diverses plateformes web, y compris Okta, et a observé une diminution des incidents de vol de session pendant cette période. La spécification DBSC a été publiée sur le site web du W3C. Les sites web peuvent le prendre en charge en ajoutant des points de terminaison d'enregistrement et de renouvellement spéciaux qui ne nécessitent pas de modifications dans le code front-end existant.

Le DBSC est actuellement actif sur Chrome 146 sous Windows. Google n'a pas annoncé de calendrier ou de plan de support pour une nouvelle version de Chrome pour macOS.