Nous avons le plaisir de vous annoncer que les identifiants de session liés à l'appareil (DBSC) sont désormais disponibles dans Chrome 145 sur Windows. Ils offrent une nouvelle façon de protéger les utilisateurs contre le vol de cookies.
Les cookies de session sont depuis longtemps une cible pour les pirates informatiques. Le vol de cookies permet à un pirate informatique d'usurper l'identité d'un utilisateur et d'accéder à ses comptes. Les identifiants de session liés à l'appareil permettent de sécuriser les sessions utilisateur en les associant à l'appareil sur lequel elles sont ouvertes. Il lie de manière cryptographique les sessions d'authentification à un appareil en créant une paire de clés publique/privée sur l'appareil. Sur Windows, Chrome protège ces clés dans le matériel à l'aide du module Trusted Platform Module (TPM).
Avec DBSC, vous pouvez vérifier qu'un utilisateur se trouve sur le même appareil tout au long de sa session en demandant la preuve que le navigateur possède toujours la clé privée. Il est ainsi beaucoup plus difficile pour les pirates informatiques d'utiliser des cookies volés, car ils n'ont généralement pas accès à la clé privée sur l'appareil de l'utilisateur.
Fonctionnement de DBSC
DBSC est conçu pour une intégration simple. Lorsqu'un utilisateur se connecte, vous pouvez lancer DBSC en diffusant l'en-tête de réponse HTTP Secure-Session-Registration.
Cet en-tête indique au navigateur d'appeler un point de terminaison d'enregistrement sur votre site avec la clé publique de la session. Votre point de terminaison d'enregistrement doit ensuite stocker cette clé publique et répondre avec la configuration de session pour établir la session liée.
Une fois la session liée, lorsqu'un cookie lié est défini pour expirer, Chrome contacte un point de terminaison d'actualisation que vous fournissez. Sur ce point de terminaison, vous pouvez demander au navigateur de prouver qu'il possède toujours la clé privée associée à la session. Si le défi est réussi, vous pouvez émettre un nouveau cookie pour authentifier d'autres requêtes. Si l'opération échoue (par exemple, si un pirate informatique tente d'utiliser un cookie volé sur un autre appareil sans accès au module TPM), vous pouvez refuser la requête.
Ce protocole ne nécessite aucune modification de vos flux d'authentification en dehors de ces deux points de terminaison.
Pour en savoir plus sur l'implémentation de DBSC, consultez le guide du développeur sur les identifiants de session liés à l'appareil.