Google déploie des identifiants de session liés à l'appareil dans Chrome 146
Google a activé la protection des identifiants de session liés à l'appareil (DBSC) dans Chrome 146 pour Windows le 9 avril 2026, marquant une avancée significative dans l'architecture de sécurité des navigateurs. La nouvelle fonctionnalité crée des jetons de session liés cryptographiquement qui associent les cookies d'authentification directement à un matériel spécifique, les rendant inutilisables s'ils sont volés par des logiciels malveillants.
DBSC représente un changement fondamental dans la gestion des sessions par les navigateurs. Les cookies de session traditionnels stockent les jetons d'authentification sous forme de fichiers texte brut que les logiciels malveillants peuvent facilement copier et réutiliser sur différents systèmes. Le nouveau système génère des clés cryptographiques spécifiques à l'appareil en utilisant le module de plateforme sécurisée (TPM) ou l'infrastructure de sécurité Windows Hello, garantissant que les jetons de session ne peuvent pas fonctionner en dehors de leur appareil d'origine.
La technologie s'appuie sur le travail existant de Google avec les normes WebAuthn et FIDO2, étendant la sécurité soutenue par le matériel de l'authentification initiale à la gestion continue des sessions. Lorsqu'un utilisateur se connecte à un site Web prenant en charge DBSC, Chrome crée une paire de clés unique où la clé privée reste verrouillée dans la puce de sécurité de l'appareil. Les cookies de session sont ensuite signés cryptographiquement avec cette clé privée, créant un lien incassable entre le jeton d'authentification et le matériel physique.
L'implémentation de Google utilise l'API Platform Crypto Provider de Windows pour accéder à la fonctionnalité TPM sans nécessiter de matériel supplémentaire ou de configuration utilisateur. Le système fonctionne de manière transparente en arrière-plan, sans changement d'expérience utilisateur ni de compatibilité avec les sites Web qui n'ont pas mis en œuvre le support DBSC.
Le déploiement fait suite à des tests approfondis dans les canaux Chrome Canary et Beta tout au long du début de 2026, où Google a affiné l'implémentation pour minimiser l'impact sur les performances tout en maximisant la couverture de sécurité. Les métriques internes ont montré que la fonctionnalité a bloqué avec succès 94 % des scénarios de vol de cookies tentés dans des environnements de test contrôlés.
Utilisateurs de Chrome sur Windows et environnements d'entreprise
Les utilisateurs de Chrome 146 sur Windows 10 version 1903 et ultérieure, ainsi que tous les systèmes Windows 11, peuvent accéder immédiatement à la protection DBSC. La fonctionnalité nécessite des appareils avec des puces TPM 2.0 ou du matériel de sécurité compatible Windows Hello, couvrant environ 85 % des installations actives de Chrome sur Windows selon les données de télémétrie de Google.
Les environnements d'entreprise bénéficient le plus significativement du déploiement de DBSC. Les réseaux d'entreprise font fréquemment face à des campagnes sophistiquées de vol d'informations ciblant les identifiants des employés pour les services cloud, les systèmes de messagerie et les applications internes. La protection DBSC rend les cookies de session volés inutiles, obligeant les attaquants à recourir à des vecteurs d'attaque plus complexes et détectables.
Les opérateurs de sites Web doivent mettre en œuvre le support DBSC côté serveur pour activer une protection complète. Google a publié une documentation complète et des implémentations de référence pour les frameworks Web populaires, y compris Node.js, Python Django et ASP.NET Core. Les principaux fournisseurs de cloud, y compris Google Cloud, Microsoft Azure et Amazon Web Services, devraient intégrer le support DBSC dans leurs services d'authentification tout au long de 2026.
Le déploiement initial réservé à Windows reflète l'accent stratégique de Google sur la plateforme la plus ciblée par les familles de logiciels malveillants voleurs d'identifiants. Le support pour MacOS et Linux est en cours de développement, Google citant les différences dans les architectures de sécurité matérielle comme le principal défi technique pour une implémentation multiplateforme.
Implémentation technique et architecture de sécurité
DBSC fonctionne à travers un modèle de sécurité à plusieurs couches qui change fondamentalement la façon dont l'authentification de session fonctionne au niveau du navigateur. Lorsqu'un utilisateur visite un site Web compatible DBSC, Chrome génère une paire de clés unique utilisant l'algorithme de signature numérique à courbe elliptique (ECDSA) avec le TPM de l'appareil ou l'enclave de sécurité Windows Hello. La clé privée ne quitte jamais la frontière matérielle sécurisée, tandis que la clé publique est transmise au serveur d'authentification du site Web.
Les cookies de session sont ensuite enveloppés dans des JSON Web Tokens (JWT) qui incluent des signatures spécifiques à l'appareil générées par la clé privée. Chaque requête HTTP inclut à la fois le cookie de session traditionnel et une preuve cryptographique fraîche que la requête provient de l'appareil autorisé. Les serveurs valident ces signatures par rapport à la clé publique stockée avant de traiter les requêtes authentifiées.
Le système inclut des mécanismes sophistiqués de protection contre la réutilisation qui empêchent les attaquants de réutiliser les jetons d'authentification capturés. Chaque signature inclut un horodatage et une valeur nonce que les serveurs suivent pour détecter les requêtes dupliquées. De plus, Chrome implémente une rotation automatique des clés tous les 30 jours, garantissant que les clés publiques compromises ont des fenêtres d'exposition limitées.
Pour les organisations souhaitant vérifier le déploiement de DBSC, les outils de développement de Chrome incluent désormais un onglet Sécurité qui affiche les sessions actives liées à l'appareil. Les administrateurs informatiques peuvent également surveiller l'utilisation de DBSC via les politiques d'entreprise de Chrome et les cadres de journalisation. Google a publié des scripts PowerShell et des modèles de stratégie de groupe pour aider les déploiements d'entreprise à suivre et gérer l'adoption de DBSC dans les flottes d'appareils d'entreprise.
La fonctionnalité s'intègre parfaitement avec les outils de sécurité d'entreprise existants, y compris Microsoft Defender for Endpoint et CrowdStrike Falcon, qui peuvent désormais détecter et alerter sur les tentatives d'abus des identifiants liés à l'appareil. Cette intégration offre aux équipes de sécurité une visibilité accrue sur les attaques basées sur les identifiants et aide à prioriser les efforts de réponse aux incidents.
