Google introduit DBSC dans Chrome 146 pour Windows, liant les sessions aux appareils via des clés cryptographiques pour renforcer la sécurité contre le vol de données.
© E. Vartanyan
Google a lancé une nouvelle fonctionnalité de sécurité dans Chrome pour Windows, susceptible de modifier notablement la protection des données utilisateurs en ligne. Cette technologie, nommée Device Bound Session Credentials (DBSC), a fait son apparition dans Chrome version 146.
En pratique, cette innovation lie les sessions utilisateurs à des appareils spécifiques. Plutôt que de stocker les données d'autorisation uniquement dans des cookies, elle ajoute une couche de protection supplémentaire via des clés cryptographiques générées au niveau de la sécurité matérielle, comme via le module TPM de Windows. Un aspect clé est que la clé privée ne quitte jamais l'appareil et ne peut être exportée. Même si un attaquant accède aux fichiers de cookies, il ne pourra pas les utiliser sur un autre appareil, rendant les attaques traditionnelles de vol de session quasiment inefficaces.
Pour les sites web, l'adoption de cette technologie ne nécessite pas de changements majeurs. Les développeurs peuvent mettre en œuvre des mécanismes spécifiques pour l'enregistrement et la mise à jour des sessions, tout en conservant le flux de travail habituel des cookies. Le navigateur se charge de la plupart des tâches de chiffrement et de protection. Actuellement, cette fonctionnalité est disponible dans Chrome 146 pour Windows, avec une version macOS attendue dans les prochaines semaines. Si elle est largement adoptée, cette technologie pourrait constituer une étape importante dans la lutte contre le vol de comptes et l'élévation des standards de sécurité en ligne.