Google s’attaque frontalement à l’un des butins les plus convoités par les cybercriminels : les cookies de session.
Ces petits fichiers stockés dans le navigateur permettent de rester connecté à un compte sans retaper son mot de passe, offrant ainsi un accès direct à la messagerie, aux réseaux sociaux, aux services bancaires ou encore aux outils professionnels d’une victime, sans qu’il soit nécessaire de connaître ses identifiants.
C’est précisément ce que visent les infostealers, les malwares spécialisés dans la collecte de données sur les machines compromises. Des familles comme Lumma, par exemple, intègrent systématiquement un module chargé d’aspirer les cookies enregistrés par les navigateurs.
Les informations volées sont ensuite revendues sur des marchés cybercriminels et les acheteurs peuvent utiliser ces cookies pour se connecter directement aux comptes visés, une technique connue sous le nom de session hijacking.
Pour contrer cette mécanique, Google a lancé dès 2024 le développement d’une réponse structurelle baptisée DBSC, pour Device Bound Session Credentials.
Déployée le 9 avril 2026 pour les utilisateurs Windows de Google Chrome, cette technologie vise à rendre chaque cookie inutilisable en dehors de l’appareil sur lequel il a été créé.
Lier le cookie à la machine, pas à l’utilisateur
Le principe du DBSC est de rendre un cookie de session indissociable de l’appareil sur lequel il a été créé.
Concrètement, Chrome génère une paire de clés cryptographiques et stocke la clé privée dans la puce de sécurité de l’appareil, le TPM (Trusted Platform Module) sous Windows, ou la Secure Enclave sous macOS. Des composants conçus pour ne jamais exposer la clé qui leur est confiée. Ils peuvent l’utiliser pour signer des données, mais ne la communiquent jamais à l’extérieur.
Désormais, à chaque renouvellement de cookie de session, Chrome doit prouver au serveur qu’il détient bien cette clé, en signant un message avec elle. Le serveur vérifie la signature avant d’émettre un nouveau cookie temporaire.
Un attaquant pourrait toujours subtiliser le cookie, mais pas la clé, qui reste confinée dans la puce. Lorsque le cookie expire, il devient donc impossible de le renouveler sans cette preuve cryptographique.
En résumé, avant DBSC, voler le cookie suffisait. Après DBSC, il faut aussi voler la machine.
Windows d’abord, macOS ensuite
Google affirme avoir déjà constaté une réduction significative des vols de sessions depuis le lancement de la phase de tests en bêta ouverte, en juillet 2025.
Pour l’heure, le déploiement général concerne uniquement les utilisateurs Windows sous Chrome 146, avec une extension à macOS prévue dans les prochains mois. Sur les appareils dépourvus de puce de sécurité compatible, le navigateur bascule automatiquement vers le comportement classique, sans protection DBSC.
Le standard a été conçu en partenariat avec Microsoft, dans le but d’en faire une norme web ouverte que d’autres navigateurs pourront adopter à terme.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !