Google semble préoccupé par le fait que les cookies d'authentification deviennent des cibles plus faciles pour les pirates. Les cookies d'authentification qui permettent aux utilisateurs de rester connectés sur tous les appareils sans saisir de mots de passe à plusieurs reprises sont sujets au vol et à une utilisation abusive. À cette fin, Google a lancé un projet open source visant à lutter contre le vol de cookies et à renforcer la sécurité du navigateur des utilisateurs.
Device Bound Session Credentials (DBSC) est la solution de Google contre le vol de cookies
Les cookies d'authentification, s'ils sont volés, peuvent permettre de se connecter à des appareils non autorisés, ce qui en fait une possession lucrative pour les pirates. Pour lutter contre cette situation, Google développe l'API Device Bound Session Credentials (DBSC) qui liera les cookies d'authentification via un mécanisme basé sur l'appareil. Cela établit une relation unique entre le site Web et le navigateur, empêchant ainsi l'utilisation de cookies volés sur différentes machines.
L'API DBSC proposée vise à créer une norme Web qui améliore la sécurité tout en respectant la confidentialité des utilisateurs. Par conséquent, les sites ne peuvent pas utiliser ces technologies pour suivre les connexions sur plusieurs appareils. Google fait également allusion au fait que seules des informations minimales telles que la clé publique par session envoyée sur le réseau préservent la confidentialité et la sécurité des utilisateurs de leur côté.
Cependant, la solution peut entraîner des inconvénients en termes de compatibilité des appareils et du système d'exploitation. L'idée est qu'environ la moitié des installations Chrome actuellement actives sur les ordinateurs de bureau recevront l'API DBSC de Google. Cependant, la société continuera de s'efforcer d'assurer la compatibilité avec les anciens ordinateurs et les solutions logicielles.
DBSC est actuellement en version bêta et atteint un nombre limité d'utilisateurs à des fins de test.
Un prototype de l'API DBSC a atteint un nombre limité d'utilisateurs de comptes Google sur Chrome Beta à des fins de test par Google. Selon des sources de l'entreprise, Okta et Microsoft Edge ont tous exprimé leur intérêt pour l'outil et y auront donc également accès prochainement.
En s'associant à des partenaires industriels, Google souhaite qu'il soit universellement adopté comme norme Web avant la fin de 2024, renforçant ainsi la sécurité des comptes dans un environnement numérique en évolution. La protection des comptes d'utilisateurs contre les accès non autorisés nécessite que les cookies d'authentification sécurisés et l'authentification à deux facteurs deviennent plus courants.
