● Numerama 📅 10/04/2026 à 15:07

Géopolitique 👤 Amine Baba Aissa

🏷️ Tags : chine pm pto réseau rte rust stoc

Lecture Zen Résumer l'article Depuis le 9 avril 2026, Google a activé dans Chrome 146 sur Windows DBSC (Device Bound Session Credentials), une protection cryptographique destinée à neutraliser le vol de cookies de session, arme favorite des infostealers. DBSC rend chaque cookie indissociable de la machine en stockant la clé privée dans le TPM et en exigeant que le navigateur signe cryptographiquement chaque renouvellement de session. Le déploiement commence par Windows avec une extension à macOS prévue dans les mois à venir, et Google travaille avec Microsoft pour transformer DBSC en norme web ouverte. Depuis le 9 avril 2026, Google a activé dans Chrome 146 sur Windows DBSC (Device Bound Session Credentials), une protection cryptographique destinée à neutraliser le vol de cookies de session, arme favorite des infostealers. DBSC rend chaque cookie indissociable de la machine en stockant la clé privée dans le TPM et en exigeant que le navigateur signe cryptographiquement chaque renouvellement de session. Le déploiement commence par Windows avec une extension à macOS prévue dans les mois à venir, et Google travaille avec Microsoft pour transformer DBSC en norme web ouverte. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Depuis le 9 avril 2026, Google déploie une protection cryptographique dans Chrome 146 sur Windows, conçue pour neutraliser l’une des techniques les plus répandues dans l’arsenal des cybercriminels : le vol de cookies de session. Google s’attaque frontalement à l’un des butins les plus convoités par les cybercriminels : les cookies de session. Ces petits fichiers stockés dans le navigateur permettent de rester connecté à un compte sans retaper son mot de passe, offrant ainsi un accès direct à la messagerie, aux réseaux sociaux, aux services bancaires ou encore aux outils professionnels d’une victime, sans qu’il soit nécessaire de connaître ses identifiants. C’est précisément ce que visent les infostealers, les malwares spécialisés dans la collecte de données sur les machines compromises. Des familles comme Lumma, par exemple, intègrent systématiquement un module chargé d’aspirer les cookies enregistrés par les navigateurs. Les informations volées sont ensuite revendues sur des marchés cybercriminels et les acheteurs peuvent utiliser ces cookies pour se connecter directement aux comptes visés, une technique connue sous le nom de session hijacking. Faux SMS, mails frauduleux… Ne tombez plus dans le piège ! Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security. Sponsorisé Je me protège contre les arnaques. Pour contrer cette mécanique, Google a lancé dès 2024 le développement d’une réponse structurelle baptisée DBSC, pour Device Bound Session Credentials. Déployée le 9 avril 2026 pour les utilisateurs Windows de Google Chrome, cette technologie vise à rendre chaque cookie inutilisable en dehors de l’appareil sur lequel il a été créé. Plutôt que de stocker un cookie que n’importe qui peut copier, DBSC oblige le navigateur à prouver à chaque renouvellement de session qu’il tourne bien sur la machine d’origine. // Source : Google Lier le cookie à la machine, pas à l’utilisateur Le principe du DBSC est de rendre un cookie de session indissociable de l’appareil sur lequel il a été créé. Concrètement, Chrome génère une paire de clés cryptographiques et stocke la clé privée dans la puce de sécurité de l’appareil, le TPM (Trusted Platform Module) sous Windows, ou la Secure Enclave sous macOS. Des composants conçus pour ne jamais exposer la clé qui leur est confiée. Ils peuvent l’utiliser pour signer des données, mais ne la communiquent jamais à l’extérieur. Désormais, à chaque renouvellement de cookie de session, Chrome doit prouver au serveur qu’il détient bien cette clé, en signant un message avec elle. Le serveur vérifie la signature avant d’émettre un nouveau cookie temporaire. Un attaquant pourrait toujours subtiliser le cookie, mais pas la clé, qui reste confinée dans la puce. Lorsque le cookie expire, il devient donc impossible de le renouveler sans cette preuve cryptographique. En résumé, avant DBSC, voler le cookie suffisait. Après DBSC, il faut aussi voler la machine. Windows d’abord, macOS ensuite Google affirme avoir déjà constaté une réduction significative des vols de sessions depuis le lancement de la phase de tests en bêta ouverte, en juillet 2025. Pour l’heure, le déploiement général concerne uniquement les utilisateurs Windows sous Chrome 146, avec une extension à macOS prévue dans les prochains mois. Sur les appareils dépourvus de puce de sécurité compatible, le navigateur bascule automatiquement vers le comportement classique, sans protection DBSC. Le standard a été conçu en partenariat avec Microsoft, dans le but d’en faire une norme web ouverte que d’autres navigateurs pourront adopter à terme. Votre VPN préféré n'est pas celui que vous croyez Quels sont les meilleurs VPN en 2026 ? Notre comparatif Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Pour ne rien manquer de l’actualité, suivez Numerama sur Google ! Crédit photo de la une : montage Numerama Signaler une erreur dans le texte Ne plus voir cette pub Ne plus voir cette pub Chrome cybersécurité Google Données personnelles Hygiène numérique Navigateur Web Tech Sécurité informatique B2B

🔗 Lire l'article original 👁️ 0 lecture