Google a intégré une nouvelle fonctionnalité de sécurité nommée Device Bound Session Credentials (DBSC) dans la version 146 de Chrome pour les utilisateurs de Windows. Cette protection vise à contrer les logiciels malveillants visant à dérober les cookies de session.
Les utilisateurs de macOS bénéficieront également de cette protection dans une prochaine version de Chrome qui n’a pas encore été annoncée.
Ce dispositif de sécurité, dévoilé pour 2024, relie de manière cryptographique la session d’un utilisateur à son matériel spécifique, notamment via le module de sécurité, le Trusted Platform Module (TPM) sous Windows, ou le Secure Enclave sur Mac.
Les clés publiques et privées générées par ce module de sécurité, utilisées pour le chiffrement et le déchiffrement des données sensibles, ne peuvent pas être exportées. Cela limite l’utilisation des données de session volées, car la clé privée unique associée à chaque machine ne peut être extraite.
Google précise que la délivrance de nouveaux cookies de session à durée de vie courte dépend de l’authentification de la possession de la clé privée par le serveur. Sans cette clé, tout cookie de session volé devient rapidement inutilisable pour un attaquant.
source: Google
Un cookie de session sert d’élément d’authentification et est généralement généré côté serveur en fonction des informations d’identification de l’utilisateur. Le serveur envoie ce cookie au navigateur qui l’utilise pour accéder à des services en ligne.
En raison de leur méthode d’authentification sans fournir de données d’identification, des acteurs malveillants exploitent des logiciels spécialisés, appelés infostealers, pour collecter ces cookies. Plusieurs familles d’infostealers, comme LummaC2, se sont montrées de plus en plus habiles à récupérer ces informations, permettant ainsi aux hackers d’accéder aux comptes des utilisateurs.
Selon Google, une fois que des logiciels malveillants sophistiqués réussissent à entrer sur un appareil, ils peuvent accéder aux fichiers locaux et à la mémoire où les navigateurs stockent les cookies d’authentification. Il n’existe donc pas de méthode fiable pour empêcher l’exfiltration de cookies par voie logicielle, quel que soit le système d’exploitation.
Conçu pour préserver la confidentialité, le protocole DBSC attribue une clé distincte pour chaque session, ce qui empêche les sites de corréler l’activité des utilisateurs sur différentes sessions ou sites depuis un même appareil. De plus, il minimise l’échange d’informations en n’exigeant que la clé publique nécessaire pour prouver la possession, sans divulguer d’identifiants de l’appareil.
Après un an de tests avec une version préliminaire en collaboration avec plusieurs plates-formes web, notamment Okta, Google a constaté une diminution significative des vols de session.
Le protocole DBSC a été co-développé avec Microsoft en tant que norme ouverte pour le web, en intégrant des retours d’experts en sécurité du web.
Les sites Web souhaitant adopter ces sessions sécurisées liées au matériel peuvent ajouter des points de registre et de rafraîchissement à leurs systèmes sans compromettre la compatibilité avec leur interface utilisateur existante. Les développeurs Web disposent d’un guide de mise en œuvre des spécifications de DBSC, accessibles sur le site du World Wide Web Consortium (W3C), ainsi qu’une explication disponible sur GitHub.