Google cherche à bloquer le vol de cookies sur le navigateur Chrome, une technique courante employée par les cybercriminels. Pour cela, la société américaine introduit une nouvelle norme d’authentification sur les appareils.

Google travaille sur une nouvelle fonctionnalité de sécurité pour son navigateur Chrome. Dans un communiqué publié le 2 avril sur le blog de l’entreprise, le géant de la tech annonce vouloir mettre en place un « Device Bound Session Credentials (DBSC) », soit en français « des identifiants de sessions attaché à l’appareil », destinés à empêcher le vol de cookie de session.

Concrètement, lorsqu’on s’authentifie sur un site, un cookie (ou témoin de connexion) est stocké dans le navigateur web. Cet identifiant peut être récupéré par des pirates informatiques, en infiltrant le système de la cible ou en la piégeant avec un faux site. Cet identifiant peut ensuite être réutilisé pour se connecter à d’autres comptes.

Le vol de cookie est devenu une méthode de plus en plus employée, notamment lors des dernières campagnes de phishing. Les cybercriminels envoient par exemple un faux message de double authentification pour récupérer le fameux cookie de connexion et s’authentifier à la place et à l’insu de la victime.

Un faux QR Code prétendument envoyé par Microsoft. // Source : Vade
Un faux QR Code prétendument envoyé par Microsoft permettra de dérober le cookie d’authentification. // Source : Vade

Une future norme de cybersécurité ?

La future fonctionnalité DBSC de Google est pensé pour mettre fin à cette technique en liant les sessions d’authentification à un appareil. La connexion avec le serveur se fera avec une clé chiffrée stockée sur l’ordinateur ou le smartphone grâce à une interface dédiée.

De fait, voler un cookie en ligne n’aura plus de sens puisqu’il ne pourra être activé que par l’appareil, sauf si l’assaillant a accès à ce dernier. Sauf que « sa présence a plus de chances d’être détectée s’il s’attaque directement à l’appareil », affirme Kristian Monsen, un ingénieur chez Google chargé de contrer les abus exploitant Chrome.

Concernant la confidentialité des internautes, le DBSC ne devrait divulguer aucune information significative sur l’appareil. La seule information envoyée au serveur est la clé publique par session pour certifier ultérieurement la preuve de possession de l’objet.

De plus, les utilisateurs pourront supprimer les clés quand ils le souhaitent. Google désire faire de DBSC un standard web ouvert. Vous pouvez suivre les travaux de l’entreprise américaine sur github.com/WICG/dbsc. Microsoft, Okta et d’autres fournisseurs d’identité ont exprimé leur intérêt pour la norme. Google vise un déploiement d’ici fin 2024.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !