Google travaille sur une nouvelle fonctionnalité de sécurité pour son navigateur Chrome. Dans un communiqué publié le 2 avril sur le blog de l’entreprise, le géant de la tech annonce vouloir mettre en place un « Device Bound Session Credentials (DBSC) », soit en français « des identifiants de sessions attaché à l’appareil », destinés à empêcher le vol de cookie de session.
Concrètement, lorsqu’on s’authentifie sur un site, un cookie (ou témoin de connexion) est stocké dans le navigateur web. Cet identifiant peut être récupéré par des pirates informatiques, en infiltrant le système de la cible ou en la piégeant avec un faux site. Cet identifiant peut ensuite être réutilisé pour se connecter à d’autres comptes.
Le vol de cookie est devenu une méthode de plus en plus employée, notamment lors des dernières campagnes de phishing. Les cybercriminels envoient par exemple un faux message de double authentification pour récupérer le fameux cookie de connexion et s’authentifier à la place et à l’insu de la victime.
Une future norme de cybersécurité ?
La future fonctionnalité DBSC de Google est pensé pour mettre fin à cette technique en liant les sessions d’authentification à un appareil. La connexion avec le serveur se fera avec une clé chiffrée stockée sur l’ordinateur ou le smartphone grâce à une interface dédiée.
De fait, voler un cookie en ligne n’aura plus de sens puisqu’il ne pourra être activé que par l’appareil, sauf si l’assaillant a accès à ce dernier. Sauf que « sa présence a plus de chances d’être détectée s’il s’attaque directement à l’appareil », affirme Kristian Monsen, un ingénieur chez Google chargé de contrer les abus exploitant Chrome.
Concernant la confidentialité des internautes, le DBSC ne devrait divulguer aucune information significative sur l’appareil. La seule information envoyée au serveur est la clé publique par session pour certifier ultérieurement la preuve de possession de l’objet.
De plus, les utilisateurs pourront supprimer les clés quand ils le souhaitent. Google désire faire de DBSC un standard web ouvert. Vous pouvez suivre les travaux de l’entreprise américaine sur github.com/WICG/dbsc. Microsoft, Okta et d’autres fournisseurs d’identité ont exprimé leur intérêt pour la norme. Google vise un déploiement d’ici fin 2024.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
