Google a corrigé une vulnérabilité dans Chrome en rendant les cookies volés inefficaces.

Google a ajouté une protection contre le vol de cookies-sessions dans Chrome 146

*La nouvelle technologie – Device Bound Session Credentials (DBSC) – lie cryptographiquement les sessions actives des utilisateurs à la configuration matérielle de leurs appareils.*

Ce qui a changé
Plateforme | Comment fonctionne la protection
---|---
Windows | Utilise le module Trusted Platform Module (TPM). Le puce génère des clés uniques qui ne peuvent pas être exportées. Les nouvelles cookies-sessions sont délivrées uniquement après confirmation par Chrome de la possession de la clé privée.
macOS | La protection sera ajoutée dans une future mise à jour du navigateur via Secure Enclave – un équivalent TPM.

Comment cela fonctionne
1. Lors de la création d’une nouvelle session, Chrome génère une paire de clés publique/privée liée au puce de sécurité.
2. Le serveur ne reçoit que la clé publique et l’utilise pour chiffrer le cookie-session.
3. Pour accéder aux données, le client doit prouver qu’il possède la clé privée – ce qui n’est possible que sur le même appareil.
4. Si un attaquant vole le cookie mais n’a pas accès au puce, la session devient immédiatement invalide.

Pourquoi c’est important
* Les cookies de session sont des jetons d’authentification permettant à l’utilisateur d’accéder aux services sans saisir à nouveau son mot de passe.
* Les logiciels malveillants (infostealers) comme LummaC2 lisent ces fichiers et la mémoire du navigateur pour voler les données.
* Les méthodes logicielles de protection ne sont pas toujours efficaces – si un attaquant obtient l’accès à la machine, il peut récupérer des cookies de toute complexité.

DBSC minimise l’échange de données : seule la clé publique est transmise au serveur, tandis que l’identifiant de l’appareil reste caché. Chaque session est protégée par une clé distincte, ce qui empêche le suivi de l’activité d’un utilisateur entre différentes sessions.

Tests et support
* Google a testé une version préliminaire de DBSC en collaboration avec plusieurs plateformes web (y compris Okta).
* Une baisse notable des vols de sessions a été enregistrée.
* Le protocole est développé en partenariat avec Microsoft comme standard web ouvert et a reçu l’approbation d’experts en sécurité web.

Comment les sites peuvent profiter
1. Ajoutez des points de registre et de mise à jour des cookies-sessions utilisant DBSC dans votre backend.
2. Cela n’affectera pas le front-end existant – la compatibilité est conservée.

Les spécifications sont disponibles sur le site W3C, et un guide détaillé d’implémentation peut être trouvé dans la documentation Google et les dépôts GitHub.

Conclusion : La nouvelle fonction de Chrome 146 offre une protection plus fiable contre le vol de cookies-sessions en les liant au matériel de l’utilisateur. Cela rend les jetons volés inutilisables presque instantanément et améliore la sécurité globale des applications web.