Dans un contexte où les cybermenaces évoluent constamment, Google déploie une nouvelle fonctionnalité dans Chrome 146 pour renforcer la sécurité des sessions web. Ce dispositif, baptisé Device Bound Session Credentials (DBSC), vise à contrecarrer les tentatives de détournement de comptes en ligne en utilisant une approche innovante. Découvrez comment cette technologie promet de sécuriser davantage vos navigations en ligne.
L’essentiel à retenir
- Chrome 146 introduit les Device Bound Session Credentials pour protéger les sessions web contre le vol de cookies.
- Cette technologie lie cryptographiquement une session à l’appareil d’origine, rendant les cookies volés inutilisables ailleurs.
- DBSC suit le processus de standardisation du W3C et pourrait s’étendre à d’autres systèmes et appareils à l’avenir.
Les infostealers et leur évolution
Depuis quelques années, les infostealers, ces logiciels malveillants conçus pour dérober des informations, ne se limitent plus à récupérer des mots de passe et des données personnelles. Ils s’attaquent désormais aux cookies de session présents dans les navigateurs, permettant ainsi d’accéder aux comptes sans authentification supplémentaire. Cette méthode de contournement est devenue une préoccupation majeure dans le paysage de la cybersécurité.
DBSC : une nouvelle approche de sécurité
Avec l’introduction des Device Bound Session Credentials, Google propose une solution innovante pour lutter contre cette menace. En associant cryptographiquement une session web à l’appareil sur lequel elle est initiée, Chrome 146 utilise le TPM sous Windows pour générer une paire de clés publique et privée. La clé privée, cruciale pour la prolongation de la session, reste uniquement accessible sur l’appareil d’origine, empêchant ainsi son utilisation par des attaquants sur d’autres dispositifs.
Ce mécanisme ne modifie pas l’expérience utilisateur lors de la connexion à un site. Les serveurs doivent simplement ajuster leurs procédures pour vérifier que Chrome détient bien la clé attendue avant de renouveler la session. Cette stratégie limite efficacement l’impact des cookies volés, qui deviennent rapidement obsolètes sans la clé privée associée.
Un protocole ouvert et collaboratif
DBSC ne se limite pas à Chrome et s’inscrit dans une démarche collaborative avec le Web Application Security Working Group du W3C. Google travaille en étroite collaboration avec Microsoft et d’autres acteurs pour standardiser ce protocole. Avant son déploiement sur Windows, plusieurs tests ont été réalisés avec des partenaires comme Okta pour s’assurer de son efficacité dans des environnements réels.
L’objectif est de rendre cette technologie accessible à d’autres systèmes, dont macOS, et de l’adapter aux environnements d’entreprise, où les solutions de Single Sign-On (SSO) sont couramment utilisées. Une extension future aux appareils sans module matériel dédié est également envisagée, élargissant ainsi les possibilités d’utilisation de DBSC.
Perspectives d’avenir pour la sécurité des sessions web
En 2026, la sécurité des sessions web continue d’être un domaine d’innovation et d’étude. Les initiatives comme les Device Bound Session Credentials reflètent l’engagement des grandes entreprises technologiques à renforcer la protection des utilisateurs face à des cybermenaces de plus en plus sophistiquées. Avec la digitalisation croissante des services et des interactions en ligne, le défi est de garantir une sécurité robuste tout en maintenant une expérience utilisateur fluide. L’adoption continue de protocoles standardisés, soutenue par des collaborations intersectorielles, jouera un rôle crucial dans l’évolution de la cybersécurité.