Chrome : Google a trouvé une solution simple mais terriblement efficace contre les pirates qui volent les cookies
Lorsqu’un pirate vous vole un cookie d’authentification pour une plateforme ou site web, il est capable de s’y connecter sans votre mot de passe. Il est donc crucial pour les navigateurs de mieux protéger les utilisateurs contre cette pratique. Ça tombe bien : Google a trouvé une solution miracle, qui paraît évidente maintenant qu’elle existe.
Lorsque l’on parle de cookies, il est généralement question des cookies publicitaires, qui traquent votre activité sur le web afin d’aider les annonceurs à vous afficher des publicités mieux ciblées. Mais il existe d’autres types de cookies, notamment les cookies d’authentification. Ce sont ces derniers qui vous permettent d’accéder à un site ou à un réseau social sans vous connecter à chaque fois, puisque ceux-ci vous reconnaissent automatiquement grâce à ce précieux cookie.
Or, pour que cette technologie fonctionne, le cookie d’authentification doit être stocké sur le navigateur web de l’utilisateur. De fait, il est alors possible pour un pirate de le voler, notamment via une campagne de phishing. Une fois chose faite, il pourra se connecter à la plateforme en question sans avoir à obtenir vos identifiants. Pratique, et donc terriblement dangereux. Il était temps que Google Chrome planche sur une solution.
Sur le même sujet — Google Chrome vous aidera bientôt à vous débarrasser des onglets inutilisés sur Android
Comment Google Chrome va lutter contre le vol de cookies
Cette solution, c’est DBSC, pour Device Bound Session Credentials (identifiants de sessions liés à l’appareil). Tout est dans le nom : Google souhaite concrètement que le cookie d’authentification soit désormais lié directement à un appareil distinct, le rendant inutilisable sur un smartphone, PC ou tablette. Pour être valide, le cookie de session devra être validé par une clé chiffrée stockée sur l’appareil de l’utilisateur.
Sur le même sujet — Google Chrome : ce célèbre bloqueur de publicités ne fonctionnera plus après cette mise à jour
Autrement dit, les pirates devront nécessairement prendre le contrôle dudit appareil, en le volant ou via un malware de type RAT, rendant ainsi l’opération beaucoup plus délicate qu’une « simple » campagne de phishing. Autre avantage, les utilisateurs auront plus de contrôle sur leurs cookies d’authentification. Il sera possible de supprimer les clés de chiffrement à tout moment, tandis que les cookies ne divulgueront aucune information personnelle.