Google a annoncé une nouvelle fonctionnalité de sécurité Chrome qui lie les cookies à un appareil spécifique, empêchant les pirates de les voler et de les utiliser pour détourner les comptes des utilisateurs.

Les cookies sont des fichiers que les sites Web utilisent pour mémoriser vos informations et préférences de navigation et vous connecter automatiquement à un service ou à un site Web. Ces cookies sont créés après que vous vous êtes connecté à un service et que vous avez vérifié les authentifications multifactorielles, ce qui leur permet de contourner l’authentification multifactorielle (MFA) lors de futures connexions.

Malheureusement, les attaquants utilisent des logiciels malveillants pour voler ces cookies, contournant ainsi les invites MFA pour détourner les comptes liés.

Pour résoudre ce problème, Google travaille sur une nouvelle fonctionnalité appelée Identifiants de session liés à l’appareil (DBSC) qui empêche les attaquants de voler vos cookies en liant cryptographiquement vos cookies d’authentification à votre appareil.

Après avoir activé DBSC, le processus d’authentification est lié à une nouvelle paire de clés publique/privée spécifique générée à l’aide de la puce Trusted Platform Module (TPM) de votre appareil qui ne peut pas être exfiltrée et est stockée en toute sécurité sur votre appareil, de sorte que même si un attaquant vole vos cookies, ils ne pourront pas accéder à vos comptes.

« En liant les sessions d’authentification à l’appareil, DBSC vise à perturber l’industrie du vol de cookies, car l’exfiltration de ces cookies n’aura plus aucune valeur », a déclaré Kristian Monsen, ingénieur logiciel de l’équipe Chrome Counter Abuse de Google.

« Nous pensons que cela réduira considérablement le taux de réussite des logiciels malveillants de vol de cookies. Les attaquants seraient obligés d’agir localement sur l’appareil, ce qui rendrait la détection et le nettoyage sur l’appareil plus efficaces, à la fois pour les logiciels antivirus et pour les appareils gérés par l’entreprise. »

Alors qu’il est encore en phase de prototype, selon cette chronologie estimée partagée par Google, vous pouvez tester DBSC en accédant à chrome://flags/ et en activant l’indicateur dédié « enable-bound-session-credentials » sur les navigateurs Web basés sur Windows, Linux et macOS Chromium.

Activation de DBSC

​DBSC fonctionne en permettant à un serveur de démarrer une nouvelle session avec votre navigateur et de l’associer à une clé publique stockée sur votre appareil à l’aide d’une API (Interface de programmation d’application) dédiée.

Chaque session est soutenue par une clé unique pour protéger votre vie privée, le serveur ne recevant que la clé publique utilisée pour vérifier la possession plus tard. DBSC ne permet pas aux sites de vous suivre à travers différentes sessions sur le même appareil, et vous pouvez supprimer les clés qu’il crée à tout moment.

Cette nouvelle fonctionnalité de sécurité devrait être initialement prise en charge par environ la moitié de tous les appareils de bureau Chrome, et elle sera entièrement alignée sur la suppression progressive des cookies tiers dans Chrome.

« Lorsqu’il sera entièrement déployé, les consommateurs et les utilisateurs d’entreprise bénéficieront automatiquement d’une sécurité améliorée pour leurs comptes Google sous le capot », a ajouté Monsen.

« Nous travaillons également à activer cette technologie pour nos clients Google Workspace et Google Cloud afin de fournir une autre couche de sécurité des comptes. »

Au cours des derniers mois, des acteurs de la menace ont abusé du point de terminaison de l’API Google OAuth « MultiLogin » non documenté pour générer de nouveaux cookies d’authentification après l’expiration de ceux précédemment volés.

Auparavant, Breachtrace avait signalé que les opérations malveillantes de vol d’informations Lumma et Rhadamanthys affirmaient pouvoir restaurer les cookies d’authentification Google expirés volés lors d’attaques.

À l’époque, Google conseillait aux utilisateurs de supprimer tout logiciel malveillant de leurs appareils et recommandait d’activer la navigation sécurisée améliorée dans Chrome pour se défendre contre les attaques de phishing et de logiciels malveillants.

Cependant, cette nouvelle fonctionnalité empêchera efficacement les acteurs de la menace d’abuser de ces cookies volés, car ils n’auront pas accès aux clés cryptographiques nécessaires pour les utiliser.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *