Voler un cookie de session, c’est voler un accès complet à un compte sans mot de passe ni double authentification. Face à l’explosion des infostealers, Google vient de déployer une parade ambitieuse dans Chrome 146 pour Windows. Son nom : Device Bound Session Credentials, ou DBSC pour faire plus simple.

Comment Chrome verrouille vos sessions sur votre machine

Le principe tient en une phrase : chaque session est liée au matériel du PC. Lors de l’authentification, Chrome génère une paire de clés cryptographiques stockée dans la puce TPM de l’ordinateur. La clé privée ne quitte jamais le composant. Un serveur qui reçoit un cookie volé exige la preuve de possession de cette clé. Sans elle, le cookie est inutilisable.

DBSC impose aussi une rotation fréquente des cookies. Même en cas d’exfiltration, la fenêtre d’exploitation se réduit à quelques minutes. Le protocole a été testé pendant un an chez un échantillon d’utilisateurs. Okta et le groupe