Google annonce que la fonctionnalité de sécurité Device Bound Session Credentials (DBSC) de Chrome est désormais disponible pour tous les utilisateurs. Son déploiement général vise à empêcher les prises de contrôle de comptes.
Présentée en version bêta depuis avril, la technologie DBSC a été dévoilée en 2024. Son principe est de lier cryptographiquement les cookies de session à un appareil spécifique. Cette méthode empêche les pirates d’utiliser ces cookies volés pour contourner l’authentification à plusieurs facteurs et détourner les comptes.
Le système DBSC fonctionne en associant les sessions utilisateur au matériel, comme la puce de sécurité de l’ordinateur. Sur Windows, il s’agit du Trusted Platform Module (TPM), et sur macOS, du Secure Enclave.
Les clés publiques et privées uniques qui servent à chiffrer et déchiffrer les données sensibles sont générées par cette puce de sécurité. Elles ne peuvent donc pas être volées, ce qui bloque l’utilisation frauduleuse des cookies de session dérobés.
Google a déclaré en avril que DBSC modifie fondamentalement la capacité du web à se défendre contre cette menace. Elle fait passer la protection d’une détection réactive à une prévention proactive. Ainsi, les cookies exfiltrés ne permettent plus d’accéder aux comptes des utilisateurs.
La société a ajouté cette semaine que DBSC renforce la sécurité du compte après la connexion et aide à lier un cookie de session, ces petits fichiers qui mémorisent les informations de l’utilisateur, à l’appareil d’authentification. Même si un logiciel malveillant est présent sur l’appareil de l’utilisateur, DBSC réduit le risque de vol de session et complique considérablement l’exploitation des cookies volés par des acteurs malveillants.
Cette fonctionnalité se déploie désormais pour tous les clients de Google Workspace, les abonnés individuels à Workspace et les utilisateurs de comptes Google personnels.
Google précise qu’elle sera activée par défaut pour tous les clients de Google Workspace lors du déploiement. Les administrateurs ne pourront pas la désactiver.
Par le passé, des acteurs malveillants ont abusé d’un point de terminaison d’API OAuth de Google non documenté, appelé « MultiLogin ». Ils l’utilisaient pour générer de nouveaux cookies d’authentification une fois que les cookies volés avaient expiré.
Les opérateurs des chevaux de Troie Lumma et Rhadamanthys, spécialisés dans le vol d’informations, ont également affirmé qu’ils pouvaient restaurer des cookies d’authentification Google expirés. Ces cookies, dérobés lors d’attaques, leur donnaient alors accès aux comptes Google des utilisateurs infectés.
À cette époque, Google conseillait à ses clients de supprimer les logiciels malveillants de leurs appareils. La société recommandait aussi d’activer le mode de sécurité Enhanced Safe Browsing de Chrome pour se protéger contre le phishing et les logiciels malveillants.
La nouvelle fonctionnalité Device Bound Session Credentials (DBSC) de Chrome devrait toutefois bloquer efficacement ces abus. Les acteurs malveillants n’auront pas accès aux clés cryptographiques nécessaires pour utiliser les cookies volés.