Les pratiques de sécurité traditionnelles sont d’excellents outils pour protéger votre vie numérique. Si vous utilisez un mot de passe unique pour chacun de vos comptes et configurez une authentification à deux facteurs (2FA) pour ceux qui le prennent en charge, les pirates auront du mal à accéder à vos données. Cependant, même 2FA n’est pas infaillible : les pirates disposent toujours d’outils pour contourner vos mesures de sécurité et se frayer un chemin dans vos espaces en ligne, sans aucune faute de votre part.
Heureusement, Google déploie actuellement une nouvelle mesure de sécurité qui devrait réduire ces vulnérabilités. Tant que vous utilisez la dernière version de Chrome, les personnes cherchant à s’introduire dans vos comptes devraient désormais faire face à une bataille plus difficile.
Comment les cookies de session mettent vos comptes en danger
Comme le rapporte Bleeping Computer, Google a officiellement déployé cette semaine les « Device Bound Session Credentials » (DBSC) pour Chrome. Cependant, pour comprendre DBSC, vous devez comprendre comment fonctionnent les cookies de session. Lorsque vous vous connectez à un site Web sur votre navigateur, ce site vous délivre un identifiant unique. Cet identifiant est stocké sous forme de petit fichier sur votre appareil : il s’agit du cookie de session. L’idée est de permettre au site Internet de garder une trace de vous au fur et à mesure de votre utilisation, y compris lorsque vous parcourez ses différentes pages Internet.
Il existe un certain nombre d’utilisations des cookies de session, notamment pour les paniers d’achat et les sites Web comportant plusieurs pages, mais pour les besoins de cette explication, la chose importante à savoir est qu’ils sont utilisés pour maintenir votre session de connexion. Le site Web peut utiliser le cookie de session pour « se souvenir » que vous êtes connecté, un peu comme vous donner un bracelet lorsque vous participez à un événement payant. De cette façon, vous n’avez pas besoin de vous réauthentifier à chaque fois que vous accédez au site : vous pouvez saisir une fois votre mot de passe, et même un code 2FA, et pouvoir revenir sur le site Web sans répéter le processus (au moins jusqu’à l’expiration du cookie de session).
Bien que les cookies de session ne soient censés vivre que sur l’appareil qui les a créés (et temporairement), ils constituent une cible de choix pour les pirates. Si quelqu’un parvient à voler vos cookies de session, il peut usurper votre identifiant sur son appareil, même si le site Web en question utilise 2FA pour plus de sécurité. En règle générale, ces sites Web vous demandent votre nom d’utilisateur, votre mot de passe et un code 2FA avant d’autoriser la connexion. Mais si un pirate informatique vole votre cookie de session, il peut faire croire au site Web qu’il est vous sur l’appareil sur lequel vous vous êtes déjà authentifié. En d’autres termes, ils ont volé votre bracelet et l’ont mis à leur propre poignet. Un videur ne saura pas qu’il l’a volé ; ils verront seulement qu’ils l’ont et supposeront que leur billet a déjà été vérifié.
La nouvelle fonctionnalité de sécurité de Google Chrome empêche le vol de cookies de session
DBSC fonctionne en garantissant que vos cookies de session sont stockés dans un endroit difficile d’accès pour les pirates. À l’avenir, tous les cookies de session générés dans Chrome (et sur d’autres navigateurs basés sur Chromium) seront stockés dans le module de plateforme sécurisée de votre PC ou dans le Secure Enclave de votre Mac. Ces puces sont conçues pour contenir des données sensibles et les protéger par cryptage. Seule la puce de sécurité possède les clés pour y décrypter les informations. Cela signifie que même si des pirates informatiques réussissent à infecter votre Mac ou PC avec des logiciels malveillants, ils auront extrêmement du mal à pénétrer dans la puce de sécurité et à voler vos cookies de session.
Google teste DBSC en version bêta depuis avril, après l’avoir annoncé pour la première fois en 2024. Désormais, il est disponible pour pratiquement tous les utilisateurs de Chrome, y compris les utilisateurs de Workspace et Enterprise, ainsi que ceux disposant de comptes personnels. Alors que l’annonce originale de Google indique explicitement que la fonctionnalité est disponible dans Chrome pour Windows, sa page d’aide DBSC indique qu’elle est également disponible pour Mac.
Comment vous assurer que vous exécutez DBSC dans Chrome
Google indique que DBSC est activé par défaut pour tous les utilisateurs de Workspace Chrome et que les administrateurs ne peuvent pas le désactiver. La société ne précise pas si cela s’applique également aux comptes personnels, même s’il y a de fortes chances que ce soit le cas. J’ai contacté Google pour obtenir des éclaircissements et je mettrai à jour cet article si j’ai une réponse.
Cependant, Google ne semble pas ajouter rétroactivement DBSC à toutes les versions de Chrome. Selon la page d’aide de DBSC, la fonctionnalité est disponible dans Chrome version 146 ou ultérieure sur Windows, et Chrome version 148 ou ultérieure sur Mac. Pour vous assurer que vous exécutez DBSC, vous devez installer la dernière version de Chrome de votre côté, juste pour être sûr.
Pour mettre à jour, cliquez sur les trois points en haut à droite, puis choisissez Aide > À propos de Google Chrome. Autorisez Chrome à rechercher la dernière mise à jour et, si elle est disponible, choisissez « Relancer » pour l’installer.
