Lutter contre le vol de cookies en utilisant des sessions liées aux appareils

Les cookies, indispensables à la commodité en ligne, sont également vulnérables au vol, permettant aux attaquants d'accéder aux comptes. Les logiciels malveillants de vol de cookies utilisent l'ingénierie sociale pour infiltrer les appareils et exfiltrer les cookies d'authentification qui contournent l'authentification à deux facteurs et la détection antivirus. Pour résoudre ce problème, les Device Bound Session Credentials (DBSC) sont développés en tant que nouvelle fonctionnalité Web qui lie les sessions d'authentification à l'appareil, rendant les cookies volés inutiles. En forçant les attaquants à agir localement, les DBSC améliorent la détection et le nettoyage sur l'appareil. Les DBSC utilisent des paires de clés publiques/privées stockées en toute sécurité sur l'appareil pour établir des sessions, en vérifiant la preuve de possession tout au long de la durée de vie de la session. Pour maintenir l'actualisation de la session et prendre en charge les solutions existantes basées sur des cookies, les DBSC utilisent un point de terminaison dédié pour l'actualisation des cookies hors bande. Les DBSC donnent la priorité à la confidentialité des utilisateurs en garantissant qu'il n'y a pas de corrélation entre les clés de différentes sessions sur le même appareil, permettant aux utilisateurs de supprimer les clés à tout moment. La seule information envoyée au serveur est la clé publique par session, qui certifie la preuve de possession de la clé. Les DBSC s'alignent sur l'abandon progressif des cookies tiers, en les désactivant dans ces scénarios. Google pilote les DBSC pour certains utilisateurs de comptes Google, offrant une sécurité renforcée. Les DBSC ont suscité l'intérêt des fournisseurs de serveurs, des fournisseurs d'identité et des navigateurs qui cherchent à protéger les utilisateurs contre le vol de cookies. Le processus de développement est ouvert et collaboratif, avec des mises à jour et des échéanciers disponibles sur GitHub.