Fin décembre 2023, plusieurs experts en sécurité ont découvert qu'un malware pouvait exploiter une vulnérabilité pour extraire et déchiffrer les jetons d'accès stockés dans la base de données locale de Google Chrome . Ces données permettent d'envoyer une requête à une API Google normalement utilisée par Chrome pour synchroniser les comptes entre différents services Google. Cela crée des « cookies Google stables et persistants » responsables de l'authentification qui peuvent être utilisés pour accéder au compte. Le concept est que l'utilisation d'une clé issue des fichiers de récupération vous permet de réautoriser les cookies, garantissant leur validité même après un changement de mot de passe . Ce qui est plus préoccupant, c'est la façon dont ce processus de « restauration » peut être répété plusieurs fois si la victime ne se rend jamais compte qu'elle a été compromise. Mais pas seulement. Même après avoir réinitialisé le mot de passe de votre compte Google, cet exploit peut être à nouveau utilisé pour accéder à votre compte. Et pour aggraver les choses, l’authentification à deux facteurs n’offre aucune protection, car le vol se produit après la connexion.

Les experts ont découvert qu'il existe déjà plusieurs logiciels malveillants qui exploitent cette vulnérabilité, et Google a déclaré que pour résoudre le problème, il suffit de quitter le navigateur en question ou de supprimer l'accès à distance de la page des appareils Google. BigG a également recommandé d'activer la navigation sécurisée améliorée pour votre compte. Un nouveau protocole qui rend les cookies privés vient à la rescousse Pour lutter contre cette situation, l'équipe de développement derrière Chrome a proposé un nouveau protocole appelé Device Bound Session Credentials (DBSC).

Comment fonctionne DBSC
Ce système combat le vol de cookies en « liant les sessions d'authentification à l'appareil » avec une « paire de clés publique/privée localement sur l'appareil ». La clé privée est stockée sur le système d'exploitation (ordinateur de bureau) à l'aide de modules de plateforme sécurisée (TPM ) ou d'approches logicielles, ce qui rend le vol plus difficile. L'API permet à un serveur d'associer une session à cette clé publique , en remplacement ou en complément des cookies existants, et vérifie la preuve de possession de la clé privée pendant toute la durée de la session. Pour garantir la confidentialité, " chaque session est soutenue par une clé unique, et DBSC ne permet pas aux sites de corréler les clés de différentes sessions sur le même appareil ". Enfin, Google s'efforce de garantir que « DBSC ne devienne pas un nouveau vecteur de suivi une fois les cookies tiers supprimés ». En effet, Google assure que « la seule information envoyée au serveur est la clé publique par session que le serveur utilise pour certifier la preuve de possession de la clé ».

Google teste déjà le protocole DBSC dans Chrome Beta pour certains comptes Google, et l'intention est de faire de DBSC un standard Web ouvert. Google a pour objectif de le tester de manière approfondie d’ici fin 2024 en cachant la fonction derrière un drapeau activable par ceux qui souhaitent l’utiliser. Son développement est disponible sur GitHub et Microsoft, Okta et d'autres sociétés ont manifesté leur intérêt.