Depuis le 9 avril 2026, Google a activé dans Chrome 146 sur Windows DBSC (Device Bound Session Credentials), une protection cryptographique destinée à neutraliser le vol de cookies de session, technique souvent exploitée par les cybercriminels. Cette initiative vise à sécuriser les cookies de session, permettant aux utilisateurs de rester connectés sans avoir à saisir à chaque fois leur mot de passe. Les cookies de session sont une cible de choix pour les infostealers, des logiciels malveillants spécialisés dans le vol de données.
Ce qu'il faut retenir
- DBSC rend chaque cookie indissociable de la machine en stockant la clé privée dans le TPM.
- Le déploiement commence sur Windows avec une extension à macOS prévue prochainement.
- Google travaille avec Microsoft pour transformer DBSC en norme web ouverte.
La lutte contre le vol de cookies de session
Google a développé DBSC, un système qui rend chaque cookie de session lié à l'appareil où il a été créé. Concrètement, Chrome stocke la clé privée du cookie dans le TPM sous Windows, garantissant ainsi une sécurisation renforcée. À chaque renouvellement de session, le navigateur doit prouver sa légitimité en signant cryptographiquement un message avec cette clé.
Une réduction significative des vols de sessions
Google a constaté une diminution des vols de sessions depuis les tests en bêta ouverte de DBSC en juillet 2025. Actuellement, seuls les utilisateurs Windows sous Chrome 146 bénéficient de cette protection, mais une extension pour macOS est prévue prochainement. En collaboration avec Microsoft, Google aspire à faire de DBSC une norme ouverte pour tous les navigateurs.
