Le vol de cookies de session est l’une des techniques préférées des cybercriminels pour contourner l’authentification multifacteur (MFA). Pour contrer cette menace, Google vient de déployer une nouvelle fonctionnalité dans Chrome 146 pour Windows : DBSC (Device Bound Session Credentials). Voici ce que l’on sait sur ce bouclier anti-infostealer.

Plus de sécurité avec Google Chrome 146

Depuis quelques années, les malwares voleurs d’informations, appelés couramment infostealer (comme Lumma C2, par exemple), sont devenus une menace redoutable. Leur objectif est simple : dérober vos identifiants et vos cookies de session pour s’authentifier à votre place sur des services en ligne, sans même avoir besoin de connaître vos mots de passe ou de générer un code MFA.

En réponse à cette problématique, Google a intégré à Chrome 146 une nouvelle fonctionnalité dévoilée en avril 2024 : Device Bound Session Credentials. Disponible uniquement avec Chrome pour Windows pour le moment (prévu aussi pour macOS), Chrome 146 s’appuie sur la puce de sécurité TPM de votre PC pour créer un lien cryptographique entre vos sessions web et votre matériel.

“Fondamentalement, une fois qu’un malware sophistiqué a eu accès à une machine, il peut lire les fichiers locaux et la mémoire où les navigateurs stockent les cookies d’authentification. Par conséquent, il n’existe aucun moyen fiable d’empêcher l’exfiltration de cookies en utilisant uniquement des logiciels sur n’importe quel système d’exploitation.”, précise Google dans son article.

Comment fonctionne DBSC sous le capot ?

Vous l’aurez compris, l’idée de DBSC est de rendre un cookie volé inutilisable par un attaquant s’il est exporté sur une autre machine. Voici quelques précisions sur le fonctionnement de cette nouveauté :

• Génération de clés uniques : le navigateur génère une paire de clés (publique et privée) à l’aide de la puce de l’ordinateur.
• Impossibilité d’exportation : la clé privée ne peut jamais quitter la puce TPM (rappelez-vous qu’une clé privée n’est jamais partagée). Ici, cela signifie qu’un malware qui analyse les données de votre PC ne pourra pas exfiltrer la clé privée.
• Cloisonnement : chaque session est liée à une clé distincte, ce qui empêche les sites web de s’en servir pour faire du suivi inter-domaines ou de pister l’activité globale de l’utilisateur sur son appareil.

Ce qu’il faut retenir, c’est qu’une paire de clés est générée. La clé privée reste sur votre machine, bien au chaud et gérée par la puce TPM. La clé publique, quant à elle, est partagée avec le service sur lequel vous avez ouvert une session. Cela permet d’établir une relation de confiance par la cryptographie entre le client et le serveur.

“L’un des principes fondamentaux de l’architecture DBSC est la protection de la vie privée des utilisateurs. Chaque session est associée à une clé unique, ce qui empêche les sites web d’utiliser ces identifiants pour relier l’activité d’un utilisateur entre différentes sessions ou sur différents sites consultés à partir du même appareil.”, précise Google. Comprenez que Google a conçu DBSC selon l’approche Privacy by Design.

Vers un nouveau standard du web ?

Pour que DBSC entre en action, le service web en face doit aussi avoir implémenté ce mécanisme de sécurité. Cela est nécessaire pour prouver que la possession du cookie est légitime et prendre en charge ces sessions liées au matériel.

“Le protocole est conçu pour être minimaliste : il ne transmet au serveur aucune information relative à l’identifiant de l’appareil ni aucune donnée d’attestation, hormis la clé publique propre à chaque session nécessaire pour certifier la preuve de possession.”, précise Google.

Cette nouvelle technologie ne va donc pas être limitée à l’écosystème de Google. Développé en partenariat avec Microsoft et testé de manière concluante l’année dernière avec plusieurs organisations dont Okta, Google aimerait faire de DBSC un standard ouvert. D’ailleurs, le projet a déjà été soumis au W3C.