Dans la lutte contre le vol de cookies de session, Google annonce le déploiement de la technologie Device Bound Session Credentials (DBSC) pour les utilisateurs de Chrome sur Windows. Elle sera étendue à macOS lors d’une prochaine version de Chrome.
DBSC avec TPM et Secure Enclave
Le principe du DBSC est de lier une session d’authentification à un appareil unique, en s’appuyant sur des modules de sécurité tels que le Trusted Platform Module (TPM) sur Windows ou le Secure Enclave sur macOS.
Ces puces génèrent une paire de clés publique/privée unique qui ne peut pas être exportée de l’appareil. Ainsi, l’émission de nouveaux cookies de session dépend de la capacité du navigateur à prouver au serveur qu’il détient bien la clé privée correspondante.
» Comme les attaquants ne peuvent pas voler cette clé, les cookies exfiltrés expirent rapidement et deviennent inutiles pour eux « , souligne Google.
Des garanties en matière de vie privée
Un principe de l’architecture DBSC est la préservation de la confidentialité. Chaque session est adossée à une clé distincte, ce qui empêche les sites web d’utiliser ces identifiants pour corréler l’activité d’un utilisateur entre différentes sessions ou sites sur le même appareil.
L’échange d’informations est minimaliste. Le protocole ne divulgue pas d’identifiants de l’appareil ou de données d’attestation au serveur.
Seule la clé publique par session est partagée, ce qui garantit que DBSC sécurise les sessions sans permettre le suivi intersites ou servir de mécanisme de fingerprinting.
Pour davantage d’appareils à l’avenir
DBSC fait office de standard web ouvert, développé au sein du W3C avec des partenaires comme Microsoft et après des phases de test incluant diverses plateformes.
Google indique avoir déjà observé une réduction significative des vols de session lors du déploiement d’une version préliminaire au cours de l’année dernière.
Des améliorations futures sont prévues, dont une prise en charge plus large d’appareils, y compris ceux ne disposant pas de matériel de sécurité dédié via des clés logicielles.