Google a discrètement publié l'une des mises à jour de sécurité du navigateur les plus importantes, et il est probable que vous ne remarquerez jamais sa présence, ce qui, je pense, est tout l'intérêt.
Les informations d'identification de session liées au périphérique, ou DBSC, sont désormais disponibles dans Chrome sous Windows pour tous les utilisateurs de Google Workspace, y compris les abonnés individuels et les utilisateurs disposant de comptes personnels. La fonctionnalité est activée par défaut, vous n'avez donc pas à modifier les paramètres.
Qu’est-ce que DBSC et pourquoi est-ce important ?
Chaque fois que vous vous connectez à un site Web, votre navigateur stocke un petit fichier appelé cookie de session pour les visites ultérieures. Vous n'avez donc pas besoin de fournir vos informations d'identification à chaque fois que vous chargez une nouvelle page.
Le problème, cependant, est que si votre appareil est affecté par n'importe quel type de malware, il peut voler ces cookies et les envoyer à un attaquant, qui peut ensuite les utiliser pour accéder à vos comptes, sans jamais avoir besoin de votre mot de passe. Ils peuvent même contourner l’authentification à deux facteurs.
Ce type d’attaque est plus courant que la plupart des gens ne le pensent, et le plus triste est qu’il fonctionne même sur des comptes dotés de paramètres de sécurité relativement plus stricts. La bonne nouvelle est que DBSC résout ce problème en associant le cookie de session à l'appareil spécifique sur lequel le navigateur l'a créé.
Une couche de sécurité supplémentaire en arrière-plan
Ainsi, même si un logiciel malveillant copie les détails de la session ou le cookie et les transmet à quelqu'un d'autre, les informations deviennent inutilisables en dehors de l'appareil sur lequel elles ont été créées. La couche de sécurité ajoutée fonctionne silencieusement en arrière-plan pendant que vous continuez votre journée sur Chrome.
DBSC, à mon avis, fait partie d’une initiative plus large de l’industrie visant à éliminer complètement les cookies de session traditionnels. Le World Wide Web Consortium dispose déjà d'une spécification ouverte à ce sujet qui existe depuis environ trois ans maintenant, et Microsoft a discrètement équipé Edge du même standard.
