Google a annoncé une nouvelle fonctionnalité de sécurité pour Chrome qui lie les cookies à un appareil spécifique, empêchant ainsi les pirates de les voler et de les utiliser pour détourner les comptes des utilisateurs.
Pour résoudre ce problème, Google travaille sur une nouvelle fonctionnalité appelée Device Bound Session Credentials qui empêche les pirates de voler vos cookies en liant cryptographiquement vos cookies d’authentification à votre appareil.
« En liant les sessions d’authentification à l’appareil, DBSC vise à perturber l’industrie du vol de cookies puisque l’exfiltration de ces cookies n’aura plus aucune valeur », a déclaré Kristian Monsen, ingénieur logiciel au sein de l’équipe Chrome Counter Abuse de Google.
Cette nouvelle fonctionnalité de sécurité devrait être initialement prise en charge par environ la moitié de tous les appareils de bureau Chrome, et elle sera entièrement alignée sur l’élimination progressive des cookies tiers dans Chrome.
Ces derniers mois, des attaquants modernes ont abusé du point de terminaison non documenté de l’API Google OAuth « MultiLogin » pour générer de nouveaux cookies d’authentification après l’expiration de ceux précédemment volés.
BleepingComputer a déjà signalé que les logiciels malveillants Lumma et Rhadamanthys, qui volent des informations, prétendaient pouvoir restaurer les cookies d’authentification Google expirés, volés lors d’attaques.
