Google a commencé le déploiement à grande échelle d’une nouvelle fonctionnalité de sécurité de Chrome qui lie les sessions de connexion au matériel de l’appareil, un changement crucial pour toute personne détenant des portefeuilles crypto.
Points clés :
- Google a lancé les Device Bound Session Credentials, qui lient les cookies de session du navigateur à la puce de sécurité de l’ordinateur.
- Cette protection bloque une attaque courante permettant aux voleurs de contourner les connexions à deux facteurs (2FA) en volant des cookies.
- Les utilisateurs crypto sont particulièrement exposés, car les malwares voleurs d’informations ciblent couramment portefeuilles et sessions d’échange.
Comment Chrome protège désormais les cookies de connexion
Des rapports publiés cette semaine ont détaillé le large déploiement des Device Bound Session Credentials, connus sous le nom de DBSC, après des mois de tests sur les navigateurs Chromium.
L’outil atteint maintenant la plupart des utilisateurs, des comptes Workspace et Enterprise aux comptes personnels. Il lie chaque connexion à une clé cryptographique qui ne quitte jamais l’appareil.
Un cookie de session fonctionne comme un bracelet dans un lieu à billet, permettant à un site de se souvenir d’une connexion sans demander un mot de passe ni un code à deux facteurs à chaque visite.
Les voleurs recherchent activement ces fichiers, car un cookie volé peut contourner entièrement cette seconde couche de sécurité, et ces jetons se revendent souvent sur les marchés du dark web. DBSC stocke la clé dans un module de plateforme sécurisée (TPM) sous Windows ou dans la Secure Enclave sur Mac, puis oblige le navigateur à prouver qu’il la possède avant de rafraîchir un cookie.
Le résultat est un cookie qui devient inutilisable sur une autre machine.
À lire aussi : Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
Pourquoi les traders crypto devraient s’y intéresser
Pour les utilisateurs de crypto, une session détournée peut signifier des fonds vidés plutôt qu’une simple boîte mail piratée. Les malwares voleurs d’informations collectent désormais cookies de navigateur, mots de passe enregistrés et fichiers de portefeuille en une seule opération avant de les envoyer vers un serveur distant.
Une analyse a révélé que le vol d’identifiants représentait environ un tiers des intrusions suivies l’année dernière, signe de la banalisation de cette tactique.
Le commerce s’est également industrialisé, des chercheurs ayant signalé un voleur d’informations par abonnement appelé Storm, loué pour moins de 1 000 $ par mois, qui cible les portefeuilles via des extensions de navigateur et des applications de bureau.
D’autres variantes surveillent les sessions liées à Binance, Coinbase, MetaMask et Trust Wallet, puis dérobent le cookie pour entrer dans un compte sans mot de passe.
Le long chemin de DBSC jusqu’aux utilisateurs
Google a d’abord présenté DBSC en 2024, avant de le faire passer par une bêta publique puis en disponibilité générale sur Chrome 146 et versions ultérieures pour Windows, puis sur la version 148 et suivantes pour Mac.
L’entreprise l’a activé par défaut pour les comptes Workspace, où les administrateurs ne peuvent pas le désactiver. Pour les traders qui laissent des onglets d’échange et des extensions de portefeuille ouverts toute la journée, la mise à jour ferme discrètement l’une des voies les plus simples vers leur argent.
À lire ensuite : Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak