Chrome ajoute une défense invisible contre le vol de données

Google a lancé une nouvelle fonctionnalité Chrome qui vise à protéger vos données lorsque vous naviguez sur Internet. La mise à jour la plus récente bloque les attaques basées sur le vol d’identifiants, qui opèrent en arrière-plan sans que l’utilisateur n’ait quoi que ce soit à faire. Connue sous le nom de DBSC, cette fonctionnalité est déjà déployée sur tous les comptes personnels et Google Workspace.

L’origine de cette implémentation répond à un problème devenu courant sur Internet, où les attaquants utilisent des logiciels malveillants pour extraire les cookies de connexion enregistrés sur votre disque dur. En clonant ces fichiers sur un autre ordinateur, les pirates peuvent accéder à vos profils sans avoir besoin de connaître votre mot de passe ni de passer une vérification en deux étapes.

Selon un article du blog Google Workspace, le nouvel outil neutralise cette méthode en modifiant la façon dont le navigateur gère votre identité. Chrome utilise une technologie appelée Device-Bound Session Credentials (DBSC), qui associe votre connexion aux composants physiques de votre ordinateur. De cette manière, les données d’accès ne fonctionnent plus comme des laissez-passer que n’importe qui peut copier et utiliser depuis un autre endroit.

L’avantage de ce système est qu’il ne nécessite aucun type de configuration manuelle. Le processus s’exécute de manière totalement transparente à chaque fois que vous accédez à un service compatible à partir d’une version mise à jour du navigateur. Étant intégrée directement à Chrome, la défense reste toujours active sans que vous ne remarquiez un impact sur les performances lors de la visite de vos pages web habituelles.

Comment fonctionne DBSC, le nouvel outil de protection Chrome

Selon le référentiel GitHub, DBSC transfère la responsabilité de la sécurité au matériel grâce à l’utilisation de la cryptographie. Lorsque vous vous connectez à une plateforme, le navigateur génère une paire de clés unique et stocke la clé privée dans la puce de sécurité de votre ordinateur. Étant donné que ces composants sont conçus pour empêcher l’exportation de données, la clé privée reste toujours en sécurité sur votre ordinateur.

Fonctionnement des informations d'identification de session liées au périphérique (DBSC) dans Chrome.

A partir de ce moment, le serveur du site Internet met en œuvre un mécanisme de vérification constant. Lorsqu’un cookie expire, le navigateur doit prouver qu’il dispose toujours de la clé privée d’origine pour recevoir un renouvellement automatique des données d’accès. Si un attaquant parvient à voler vos fichiers de session temporaires via un cheval de Troie, le serveur exigera une preuve cryptographique que seule votre puce physique peut signer.

Google note que cette stratégie modifie le paysage de la cybersécurité, obligeant les attaquants à opérer strictement au sein de la machine infectée. Bien qu’un virus actif puisse effectuer des actions tout en contrôlant le système, il perdra tout accès lorsqu’il sera supprimé de l’ordinateur.

La protection DBSC sera déployée à partir d’aujourd’hui pour tous les utilisateurs de Chrome disposant d’un compte personnel ou professionnel. Le déploiement sera progressif et sera activé par défaut, il n’est donc pas nécessaire de modifier les paramètres de votre navigateur. Google a mentionné que limiter la validité des données volées à une très courte période contribuerait à freiner l’écosystème de vente d’informations d’identification.