## Chrome renforce la sécurité des sessions avec le DBSC **Google** renforce la sécurité de **Chrome** avec l'introduction des identifiants de session liés à l'appareil (DBSC) dans la version 146, initialement pour les utilisateurs de Windows. Cette amélioration vise à neutraliser la menace des malwares d'extraction d'informations en empêchant l'exploitation des cookies de session volés. La prise en charge de macOS est prévue pour une future version.  Le système DBSC fonctionne en établissant un lien cryptographique entre la session d'un utilisateur et le matériel de son appareil, en tirant parti du Trusted Platform Module (TPM) sous Windows et, à l'avenir, du Secure Enclave sous macOS. Cela garantit que les clés privées nécessaires au déchiffrement des données de session sensibles restent sécurisées au sein du matériel. Étant donné que les clés publiques/privées uniques pour le chiffrement et le déchiffrement des données sensibles sont générées par la puce de sécurité, elles ne peuvent pas être exportées de la machine. Cela empêche l'attaquant d'utiliser les données de session volées car la clé privée unique qui les protège ne peut pas être exportée de la machine. « L'émission de nouveaux cookies de session de courte durée est subordonnée à la preuve de possession de la clé privée correspondante par **Chrome** auprès du serveur », a déclaré **Google** dans son annonce. Sans cette clé, tout cookie de session exfiltré devient immédiatement invalide. ### Comment fonctionne le DBSC Un cookie de session agit comme un jeton d'authentification de longue durée, créé côté serveur sur la base du nom d'utilisateur et du mot de passe. Les attaquants ciblent souvent ces cookies à l'aide de malwares spécialisés, comme **LummaC2**, pour contourner les méthodes d'authentification traditionnelles.  *Interaction navigateur-serveur dans le contexte du protocole DBSC source : Google* « De manière cruciale, une fois qu'un malware sophistiqué a accédé à une machine, il peut lire les fichiers locaux et la mémoire où les navigateurs stockent les cookies d'authentification. Par conséquent, il n'existe aucun moyen fiable d'empêcher l'exfiltration de cookies en utilisant uniquement des logiciels sur aucun système d'exploitation », a expliqué **Google**. Le protocole DBSC est conçu dans le respect de la vie privée. Chaque session est soutenue par une clé distincte, empêchant les sites web de corréler l'activité de l'utilisateur entre les sessions ou les sites. Le protocole minimise l'échange d'informations, ne nécessitant que la clé publique par session pour la preuve de possession et évitant la fuite d'identifiants d'appareil. ### Collaboration industrielle Lors des tests avec des plateformes comme **Okta**, **Google** a observé une réduction significative des incidents de vol de session. **Google** a collaboré avec **Microsoft** pour développer le DBSC en tant que standard web ouvert, en intégrant les commentaires de la communauté de la sécurité web. Les sites web peuvent implémenter le DBSC en ajoutant des points de terminaison d'enregistrement et de rafraîchissement dédiés à leurs backends, assurant la compatibilité avec les frontends existants. Les développeurs peuvent trouver les détails d'implémentation dans le guide et les spécifications de **Google** sur le site web du World Wide Web Consortium (W3C), avec une explication disponible sur GitHub.