Voler un cookie de session, c’est voler un accès complet à un compte sans mot de passe ni double authentification. Face à l’explosion des infostealers, Google vient de déployer une parade ambitieuse dans Chrome 146 pour Windows. Son nom : Device Bound Session Credentials, ou DBSC pour faire plus simple.
Comment Chrome verrouille vos sessions sur votre machine
Le principe tient en une phrase : chaque session est liée au matériel du PC. Lors de l’authentification, Chrome génère une paire de clés cryptographiques stockée dans la puce TPM de l’ordinateur. La clé privée ne quitte jamais le composant. Un serveur qui reçoit un cookie volé exige la preuve de possession de cette clé. Sans elle, le cookie est inutilisable.
DBSC impose aussi une rotation fréquente des cookies. Même en cas d’exfiltration, la fenêtre d’exploitation se réduit à quelques minutes. Le protocole a été testé pendant un an chez un échantillon d’utilisateurs. Okta et le groupe de travail W3C sur la sécurité web y ont participé. La télémétrie des premiers déploiements montre une baisse mesurable des détournements de sessions.
Chaque session repose sur une clé distincte. Aucun site ne peut corréler l’activité d’un utilisateur entre deux sessions ou deux domaines. Google insiste sur ce point : la protection n’introduit aucun pistage supplémentaire.
Pourquoi les Mac restent exposés
Sur macOS, le mécanisme utilisera le Secure Enclave d’Apple au lieu du TPM. Mais la date de déploiement n’a pas été communiquée. En attendant, les utilisateurs Mac restent vulnérables aux mêmes infostealers qui ciblent les cookies de session depuis des mois. Firefox et Safari, de leur côté, n’ont annoncé aucune implémentation équivalente.
La menace est pourtant bien réelle, et plus pressante qu’on ne le pense. Les précédentes défenses de Chrome ont toutes été contournées. L’App-Bound Encryption, lancée en juillet 2024, a tenu quelques semaines avant que LummaC2, Vidar ou StealC ne trouvent des parades. Certains exploitent l’API de débuggage distant de Chrome. D’autres manipulent les interfaces COM de Windows pour extraire les cookies en clair. Plus récemment, une attaque baptisée C4 Bomb a exploité une faille du chiffrement Windows DPAPI sans privilège administrateur.
DBSC change la donne en déplaçant la confiance vers le matériel. Un logiciel malveillant peut exfiltrer un fichier, pas une clé enfermée dans une puce physique. Google le reconnaît dans sa documentation : aucune protection logicielle ne peut garantir la sécurité des cookies une fois la machine compromise. D’où le recours au matériel.
Reste que la protection ne couvre aujourd’hui qu’une fraction des utilisateurs de Chrome. Et que les attaquants n’attendront pas le déploiement sur Mac pour adapter leurs méthodes. Le déploiement est cours avec la mise à jour 146 de Chrome pour Windows
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Google
