● 01net 📅 10/04/2026 à 10:33

Chrome : Google lance l'arme ultime contre l'une des plus grandes menaces d'Internet

Géopolitique 👤 Naïm Bada
Illustration
© Naïm Bada pour 01net Google active enfin sa protection matérielle contre les infostealers dans Chrome 146. Problème : les utilisateurs Mac devront attendre. Voler un cookie de session, c’est voler un accès complet à un compte sans mot de passe ni double authentification. Face à l’explosion des infostealers, Google vient de déployer une parade ambitieuse dans Chrome 146 pour Windows. Son nom : Device Bound Session Credentials, ou DBSC pour faire plus simple. Comment Chrome verrouille vos sessions sur votre machine Le principe tient en une phrase : chaque session est liée au matériel du PC. Lors de l’authentification, Chrome génère une paire de clés cryptographiques stockée dans la puce TPM de l’ordinateur. La clé privée ne quitte jamais le composant. Un serveur qui reçoit un cookie volé exige la preuve de possession de cette clé. Sans elle, le cookie est inutilisable. DBSC impose aussi une rotation fréquente des cookies. Même en cas d’exfiltration, la fenêtre d’exploitation se réduit à quelques minutes. Le protocole a été testé pendant un an chez un échantillon d’utilisateurs. Okta et le groupe de travail W3C sur la sécurité web y ont participé. La télémétrie des premiers déploiements montre une baisse mesurable des détournements de sessions. Chaque session repose sur une clé distincte. Aucun site ne peut corréler l’activité d’un utilisateur entre deux sessions ou deux domaines. Google insiste sur ce point : la protection n’introduit aucun pistage supplémentaire. Pourquoi les Mac restent exposés Sur macOS, le mécanisme utilisera le Secure Enclave d’Apple au lieu du TPM. Mais la date de déploiement n’a pas été communiquée. En attendant, les utilisateurs Mac restent vulnérables aux mêmes infostealers qui ciblent les cookies de session depuis des mois. Firefox et Safari, de leur côté, n’ont annoncé aucune implémentation équivalente. La menace est pourtant bien réelle, et plus pressante qu’on ne le pense. Les précédentes défenses de Chrome ont toutes été contournées. L’App-Bound Encryption, lancée en juillet 2024, a tenu quelques semaines avant que LummaC2, Vidar ou StealC ne trouvent des parades. Certains exploitent l’API de débuggage distant de Chrome. D’autres manipulent les interfaces COM de Windows pour extraire les cookies en clair. Plus récemment, une attaque baptisée C4 Bomb a exploité une faille du chiffrement Windows DPAPI sans privilège administrateur. DBSC change la donne en déplaçant la confiance vers le matériel. Un logiciel malveillant peut exfiltrer un fichier, pas une clé enfermée dans une puce physique. Google le reconnaît dans sa documentation : aucune protection logicielle ne peut garantir la sécurité des cookies une fois la machine compromise. D’où le recours au matériel. Reste que la protection ne couvre aujourd’hui qu’une fraction des utilisateurs de Chrome. Et que les attaquants n’attendront pas le déploiement sur Mac pour adapter leurs méthodes. Le déploiement est cours avec la mise à jour 146 de Chrome pour Windows 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Opera One - Navigateur web boosté à l’IA Par : Opera Télécharger gratuitement Source : Google Chromecybersécurité Naïm Bada Sur le même sujet Google Chrome active les onglets verticaux et lance un nouveau mode lecture Mise à jour d’urgence chez Google : 8 nouvelles failles de Chrome mettent en danger le navigateur Une cyberattaque « discrète » vise Chrome : un virus a trouvé le moyen de voler la clé de vos données 26 failles ont été découvertes dans Chrome, dont 3 vulnérabilités critiques Meilleur antivirus 2026 : quel est le meilleur choix ? Meilleur gestionnaire de mots de passe : le guide en avril 2026 Quel est le meilleur VPN ? Les dernières actualités Chrome : Google lance l’arme ultime contre l’une des plus grandes menaces d’Internet Un message vocal de « livreur » généré par IA : la nouvelle arnaque au colis qui fait des ravages Les videoprojecteurs ETOE à prix cassé en ce moment chez Geekbuying Ionity augmente ses prix : voici les nouveaux tarifs du kWh et l’astuce pour ne pas payer plus cher 4,5 millions d’adresses e-mail exposées : une fuite massive frappe la France, des ministères et des ambassades touchés Souveraineté numérique : l’État français veut abandonner Windows pour Linux L’alternative à Starlink d’Amazon approche, mais le chemin est encore long ChatGPT Pro : OpenAI lance un nouveau forfait, voici ce qu’il propose Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour