ConnexionChrome met en place une nouvelle sécurité contre le vol de cookies avec DBSC
Imaginez un monde où vos précieux cookies d’authentification, ces petits fichiers qui vous permettent de rester connecté à vos sites préférés, seraient à l’abri des vilains pirates informatiques. Et bien, mes chers amis geeks, ce monde est sur le point de devenir réalité grâce à notre cher Google et sa nouvelle fonctionnalité révolutionnaire pour Chrome : Device Bound Session Credentials (DBSC) !
Fini le temps où ces satanés cybercriminels pouvaient subtiliser nos cookies et prendre le contrôle de nos comptes en un clin d’œil. Avec cette nouvelle fonctionnalité qui arrive dans Chrome et qui s’appelle Device Bound Session Credentials (DBSC), vos cookies seront liés cryptographiquement à votre appareil, rendant leur vol aussi utile qu’un sabre laser sans piles.
Lors d’un processus d’authentification, une paire de clés publique/privée unique est générée en utilisant la puce TPM (Trusted Platform Module) de votre appareil. Ainsi, la clé privée reste bien au chaud dans votre machine, impossible à exfiltrer, tandis que la clé publique est partagée avec le serveur. Comme ça, même si un hacker met la main sur vos cookies, sans la clé privée associée, il ne pourra pas accéder à vos comptes.
Bien sûr, DBSC ne sera pas parfait dès le départ et les chercheurs en sécurité tenteront sûrement de trouver un moyen de contourner cette protection comme à chaque fois, mais Google est confiant.
Kristian Monsen, ingénieur de l’équipe Chrome Counter Abuse, affirme que DBSC devrait « considérablement réduire le taux de réussite des malwares voleurs de cookies« . Les attaquants seront donc obligés d’agir localement sur l’appareil, ce qui rendra la détection et le nettoyage plus efficaces. En gros, ça va leur mettre des bâtons dans les roues comme jamais !
Selon leur calendrier prévisionnel, DBSC devrait être pris en charge, fin 2024, par environ la moitié des appareils Desktop équipés de Chrome. En attendant le grand jour, vous pouvez déjà tester DBSC en allant dans chrome://flags/ et en activant le flag « enable-bound-session-credentials » sur Windows, Linux et macOS.
Bonne nouvelle non ?
