Les cookies, ces petits fichiers créés par les sites que vous visitez, sont essentiels au web moderne. Ils facilitent votre navigation en ligne en enregistrant les informations de navigation, permettant ainsi aux sites de vous garder connecté et de mémoriser vos préférences. Cependant, en raison de leur utilité, les cookies sont également une cible lucrative pour les pirates.
De nombreux internautes sont victimes de logiciels malveillants de vol de cookies qui donnent aux attaquants accès à leurs comptes Web. Pour contrer cette menace grandissante, Google développe une nouvelle fonctionnalité appelée Device Bound Session Credentials (DBSC) qui vise à sécuriser les utilisateurs contre le vol de cookies.
**Fonctionnement de DBSC**
DBSC lie les sessions d’authentification à l’appareil utilisé, rendant ainsi inutile le vol de cookies. En cas de tentative d’exfiltration, le cookie dérobé ne pourra être utilisé. Cela devrait considérablement réduire le taux de réussite des logiciels malveillants de vol de cookies.
Les attaquants seraient alors contraints d’agir localement sur l’appareil, ce qui facilite la détection et le nettoyage sur l’appareil, tant par les logiciels antivirus que par les appareils gérés par l’entreprise.
**Confidentialité des utilisateurs**
Chaque session est associée à une clé unique, et DBSC n’autorise pas les sites à corréler les clés de différentes sessions sur le même appareil, garantissant ainsi l’absence de suivi persistant des utilisateurs. Les utilisateurs peuvent également supprimer les clés créées à tout moment en supprimant les données du site dans les paramètres de Chrome.
**Intérêt et collaboration**
De nombreux fournisseurs de serveurs, fournisseurs d’identité et navigateurs ont exprimé leur intérêt pour DBSC, soulignant l’importance de sécuriser les utilisateurs contre le vol de cookies. Google collabore avec toutes les parties prenantes pour proposer une norme applicable à différents types de sites Web tout en préservant la confidentialité.
**Perspectives**
DBSC est actuellement en phase de prototypage et pourrait être déployé complètement d’ici la fin de 2024. Cette nouvelle fonctionnalité promet de renforcer considérablement la sécurité des comptes en ligne en rendant le vol de cookies obsolète.
**Mots-clés :** cookies, vol de cookies, DBSC, privacy