**Google** annonce que la fonctionnalité de sécurité **Chrome** Device Bound Session Credentials (DBSC) est désormais disponible et déployée pour tous les utilisateurs afin de prévenir les prises de contrôle de compte. Disponible en version bêta depuis avril, DBSC a été annoncé pour la première fois en 2024 comme un moyen de lier cryptographiquement les cookies de session à un appareil spécifique, empêchant les pirates d'utiliser de tels cookies volés pour contourner l'authentification multi-facteurs (MFA) et détourner les comptes des utilisateurs. ### Comment fonctionne DBSC DBSC fonctionne en liant cryptographiquement les sessions utilisateur au matériel, tel que la puce de sécurité de leur ordinateur (par exemple, le Trusted Platform Module (TPM) sur **Windows** et le Secure Enclave sur **macOS**). Étant donné que les clés publiques/privées uniques utilisées pour chiffrer et déchiffrer les données sensibles sont générées par la puce de sécurité, elles ne peuvent pas être volées, empêchant ainsi les attaquants d'utiliser des cookies de session volés. « DBSC modifie fondamentalement la capacité du web à se défendre contre cette menace en passant d'une détection réactive à une prévention proactive, garantissant que les cookies ayant fait l'objet d'une exfiltration réussie ne peuvent pas être utilisés pour accéder aux comptes des utilisateurs », a déclaré **Google** en avril. « DBSC renforce la sécurité du compte après la connexion des utilisateurs et contribue à lier un cookie de session — de petits fichiers utilisés par les sites web pour mémoriser les informations de l'utilisateur — à l'appareil à partir duquel un utilisateur s'est authentifié. Même en présence de malware sur l'appareil de l'utilisateur, DBSC réduit le risque de vol de session et rend beaucoup plus difficile pour les acteurs malveillants d'exploiter les cookies de session volés », a-t-il ajouté cette semaine.  La fonctionnalité est actuellement déployée pour tous les clients **Google Workspace**, les abonnés Workspace Individual et les utilisateurs de comptes **Google** personnels. **Google** a ajouté qu'elle sera activée par défaut pour tous les clients **Google Workspace** lors du déploiement et que les administrateurs ne pourront pas la désactiver. ### Abus passés et atténuation Par le passé, des acteurs de la menace ont abusé du point de terminaison API **Google** OAuth « MultiLogin », non documenté, pour générer de nouveaux cookies d'authentification après l'expiration des cookies volés. Les opérations de malware voleurs d'informations **Lumma** et **Rhadamanthys** ont également affirmé pouvoir restaurer les cookies d'authentification **Google** expirés volés lors d'attaques pour accéder aux comptes **Google** des utilisateurs infectés. À l'époque, **Google** avait conseillé aux clients de supprimer les malwares de leurs appareils et recommandé d'activer le mode de sécurité Enhanced Safe Browsing de **Chrome** pour se défendre contre les attaques de phishing et de malware. Cependant, la nouvelle fonctionnalité de sécurité Chrome Device Bound Session Credentials (DBSC) devrait bloquer efficacement les acteurs malveillants de l'abus de tels cookies volés, car ils n'auront pas accès aux clés cryptographiques nécessaires pour les utiliser.