Pendant longtemps, voler un mot de passe a suffi aux pirates. Aujourd’hui, ils visent plus malin : les cookies de session, ces petits fichiers qui gardent votre connexion ouverte avec vos applications web préférées une fois que vous vous êtes identifié. Avec l’un d’eux en poche, plus besoin de votre mot de passe ni de votre code à usage unique pour entrer dans votre compte. C’est cette porte que Google vient de refermer dans Chrome, avec une technologie baptisée DBSC, dont nous vous parlions déjà il y a quelques semaines lors de son déploiement en bêta.
Comment Chrome rend-il un cookie volé inutilisable ?
DBSC, pour Device Bound Session Credentials, lie le cookie de session au matériel de votre appareil. Chrome s’appuie sur la puce de sécurité intégrée à l’ordinateur, le TPM sous Windows ou la Secure Enclave sous Mac, pour générer une paire de clés cryptographiques. La clé privée ne quitte jamais la puce, et ne peut donc pas être recopiée par un logiciel malveillant.
Résultat : même si un pirate parvient à voler le cookie, il lui manquera la clé pour s’en servir. Le cookie devient une carte d’accès sans le code qui l’accompagne. La protection est activée par défaut, sans rien à régler (ni même un bouton pour la désactiver, d’ailleurs), et Google a pris soin qu’elle ne serve pas au pistage : chaque session a sa propre clé, et aucune empreinte de l’appareil n’est transmise aux sites.
Une précision utile pour un public français, habitué à associer le mot cookie à la CNIL et au bandeau de consentement : on ne parle pas ici des cookies publicitaires qui vous suivent d’un site à l’autre, mais des cookies d’authentification qui prouvent que vous êtes bien connecté. Deux usages très différents derrière le même mot (et le même fonctionnement, à savoir un petit fichier persistant associé à votre navigation).
Faut-il pour autant se croire à l’abri ?
La parade est solide, mais elle ne règle pas tout : DBSC neutralise le cookie volé, pas l’infection qui l’a rendu possible. Les logiciels voleurs de données, les fameux infostealers, continuent d’aspirer mots de passe et informations personnelles sur les machines contaminées, et le phénomène explose : rien qu’en 2025, ces programmes ont infecté des dizaines de millions d’appareils dans le monde. La porte d’entrée est mieux gardée, mais le cambrioleur reste dans le quartier.
Autre nuance : pour être pleinement efficace, DBSC doit aussi être pris en charge côté site. Les services de Google en profitent déjà, les autres suivront à leur rythme. La fonction est pour l’instant réservée à Windows, la version Mac arrivant plus tard. Et il ne s’agit pas d’une lubie maison : la technologie a été pensée comme un standard ouvert, développé au W3C avec Microsoft, ce qui ouvre la voie à tous les autres navigateurs et éditeurs.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Google
