Avec son système DBSC, Chrome va vous protéger des voleurs de données
Google déploie dans Chrome 146 une protection inédite contre le vol de cookies de session. Baptisée DBSC, elle lie cryptographiquement vos identifiants à votre machine, rendant les données dérobées inutilisables.
Chaque fois que vous vous connectez à votre messagerie, à votre banque en ligne ou à n'importe quel service web, votre navigateur stocke un petit fichier discret appelé cookie de session. Ce "jeton", invisible pour l'utilisateur, est pourtant une clé d'or : il prouve au serveur que vous êtes bien connecté, sans vous demander de retaper votre mot de passe à chaque clic.
Pendant des années, cette commodité a aussi constitué l'une des failles les plus exploitées par les cybercriminels, en permettant à des pirates d'ouvrir automatiquement les portes de sites et de services sensibles. Google vient d'y apporter une réponse technique de fond en annonçant dans un billet de blog publié le 9 avril 2026 le déploiement général de son système DBSC – pour Device Bound Session Credentials, soit littéralement "identifiants de session liés à l'appareil .
DBSC Chrome : le cookie volé, un butin monnayable en quelques minutes
Pour comprendre pourquoi cette annonce compte, il faut d'abord saisir la mécanique du vol de session. Lorsqu'un logiciel malveillant parvient à s'installer sur un ordinateur, il peut silencieusement extraire les cookies de session présents dans le navigateur, ou attendre que l'utilisateur se connecte à un nouveau compte pour dérober le jeton au moment même de sa création, avant de le transmettre à un serveur contrôlé par les attaquants.
Ce qui rend ces attaques particulièrement redoutables, c'est la durée de vie souvent longue des cookies. Les cookies de session ont fréquemment une durée de validité étendue, ce qui permet aux attaquants de les utiliser pour accéder aux comptes en ligne de leurs victimes sans jamais connaître leur mot de passe. Une fois collectés, ces jetons sont conditionnés et revendus à d'autres acteurs malveillants, qui mènent ensuite leurs propres attaques.
Les familles de logiciels malveillants spécialisés dans cette collecte se sont multipliées et sophistiquées ces dernières années. Des infostealers comme LummaC2 sont devenus particulièrement redoutables dans la collecte de ces identifiants. Atomic, Vidar Stealer ou encore Redline figurent également parmi les outils les plus répandus sur les marchés clandestins. Un malware sophistiqué peut lire les fichiers locaux et la mémoire où les navigateurs stockent les cookies d'authentification. Il n'existe donc aucun moyen logiciel fiable pour empêcher leur extraction sur n'importe quel système d'exploitation. Autrement dit, tant que ces données restaient stockées en clair sur le disque dur, aucun antivirus ni aucun pare-feu ne pouvait garantir leur protection absolue.
Face à ce constat, la réponse habituelle des grands services en ligne consistait à surveiller les comportements suspects après coup : connexion depuis un pays inhabituel, heure atypique, adresse IP inconnue. Cette approche réactive reposait sur un ensemble complexe d'heuristiques de détection des abus, que des attaquants persistants parvenaient souvent à contourner. DBSC change radicalement de paradigme en passant de la détection à la prévention.
DBSC Chrome : un verrou cryptographique ancré dans le matériel
Le principe de DBSC repose sur une idée simple mais puissante : rendre un cookie de session indissociable de l'appareil sur lequel il a été créé. Le système utilise des modules de sécurité matériels – comme le TPM (Trusted Platform Module) sur Windows ou le Secure Enclave sur macOS – pour générer une paire de clés cryptographiques publique/privée qui ne peut pas être exportée de la machine.
Concrètement, voilà ce que cela change pour un attaquant. Lorsqu'une session est ouverte sur un site compatible avec DBSC, le navigateur ne se contente plus de stocker un cookie classique. Il génère une clé cryptographique unique liée à la puce de sécurité du PC, puis échange avec le serveur des cookies à durée de vie très courte. La délivrance de ces nouveaux cookies éphémères est conditionnée au fait que Chrome prouve au serveur qu'il détient bien la clé privée correspondante. Les attaquants ne pouvant pas dérober cette clé, les cookies exfiltrés expirent rapidement et deviennent inutilisables.
Du côté de l'utilisateur, rien ne change. Le navigateur gère la cryptographie complexe et la rotation des cookies en arrière-plan, permettant à l'application web de continuer à utiliser des cookies standards comme elle l'a toujours fait. Du côté des sites web, l'adoption nécessite d'ajouter des points d'entrée dédiés à l'enregistrement et au renouvellement des sessions – une intégration relativement légère comparée à la protection qu'elle apporte. Des acteurs majeurs comme Okta ont participé aux phases de test et contribué à façonner le protocole.
Un détail important : si l'appareil d'un utilisateur ne prend pas en charge le stockage sécurisé des clés, DBSC revient gracieusement au comportement standard sans interrompre le flux d'authentification. Pas de dégradation brutale de l'accès pour les machines plus anciennes, donc.
DBSC Chrome : une norme ouverte, une portée mondiale
DBSC a d'abord été annoncé par Google en avril 2024. Sa disponibilité publique est actuellement limitée aux utilisateurs de Windows sur Chrome 146, avec une extension à macOS prévue dans une prochaine version. Dès les premières phases de déploiement sur les sessions protégées, Google a observé une réduction significative des vols de session.
Au-delà du seul Chrome, le projet a été conçu dès l'origine pour devenir un standard ouvert du web. DBSC a été élaboré dans le cadre du processus W3C et du groupe de travail sur la sécurité des applications web. Google a travaillé avec Microsoft pour concevoir la norme, afin de s'assurer qu'elle fonctionne pour l'ensemble du web, avec des contributions de nombreux acteurs de l'industrie. L'ambition est donc que d'autres navigateurs et plateformes puissent l'adopter à leur tour.
La question de la vie privée a également été prise au sérieux dans la conception du système. Chaque session est adossée à une clé distincte, ce qui empêche les sites web d'utiliser ces identifiants pour corréler l'activité d'un utilisateur à travers différentes sessions ou différents sites sur le même appareil. Le protocole est aussi conçu pour être minimaliste : il ne transmet au serveur aucun identifiant de l'appareil ni donnée d'attestation, au-delà de la clé publique nécessaire à la preuve de possession. DBSC ne peut donc pas servir de mécanisme de pistage inter-sites, ce qui était l'un des risques que les défenseurs de la vie privée craignaient avec ce type d'approche.
DBSC Chrome : une avancée réelle, mais des limites à ne pas occulter
DBSC représente une avancée technique sérieuse, et il serait injuste de la minimiser. Lier des jetons d'authentification à un composant matériel non extractible est une approche bien plus robuste que les mécanismes purement logiciels qui ont prévalu depuis les débuts du web. Les entreprises qui gèrent des accès sensibles, et les particuliers qui utilisent des services bancaires ou de messagerie critique, ont tout intérêt à ce que leurs services adoptent rapidement ce protocole.
Mais quelques nuances méritent d'être posées. DBSC ne protège que contre le vol de cookies après compromission : si un attaquant a déjà un accès actif et interactif à la machine, d'autres vecteurs d'attaque restent ouverts. Par ailleurs, la protection reste conditionnelle à l'adoption par les sites web eux-mêmes, qui doivent intégrer les nouveaux points d'entrée dans leurs systèmes d'authentification. Le déploiement côté serveurs sera donc aussi déterminant que le déploiement côté navigateur. Google envisage dans les prochaines étapes d'étendre le support à davantage d'appareils et d'introduire des mécanismes avancés pour les environnements d'entreprise, notamment autour de la fédération d'identité et du Single Sign-On.
En attendant, pour des millions d'utilisateurs de Chrome sur Windows, la mise à jour vers la version 146 apporte une protection concrète contre une menace que beaucoup ignoraient encore. C'est rarement le cas des mises à jour de sécurité – et c'est précisément pour cela que celle-ci mérite d'être saluée.