La plupart des pirates n’ont plus besoin de votre mot de passe. Depuis plusieurs années, un type d’attaque connu sous le nom de vol de session leur permet de prendre le contrôle de vos comptes Gmail, Facebook, Amazon ou bancaires sans jamais avoir à le connaître. Google vient de déployer, dans Chrome 146, une protection conçue pour mettre fin à cette technique.
Comment on vole un compte sans connaître le mot de passe
Quand vous vous connectez à un service en ligne, votre navigateur reçoit un fichier appelé cookie de session. Ce fichier est une sorte de badge temporaire qui prouve que vous êtes bien authentifié. Tant qu’il est valide, vous restez connecté sans avoir à retaper votre mot de passe à chaque page.
Le problème, c’est que ce badge peut être volé. Des logiciels malveillants spécialisés, appelés infostealers, s’infiltrent discrètement sur votre machine et extraient ces cookies. Une fois en leur possession, les pirates peuvent les importer dans leur propre navigateur. Le serveur distant les reconnaît comme valides et leur ouvre l’accès à votre compte, comme si c’était vous. Pas de code à deux facteurs requis, pas d’alerte de connexion suspecte : le cookie suffisait.
Ces outils sont devenus un marché à part entière. LummaC2, l’un des infostealers les plus répandus documentés par BleepingComputer, se loue à des groupes criminels sous forme d’abonnement. Les logs de sessions volées se revendent ensuite sur des forums spécialisés, parfois pour quelques euros pièce. Des centaines de milliers de comptes sont compromis chaque mois de cette façon, selon les données compilées par les chercheurs en sécurité de CyberInsider.
Ce que Chrome 146 change concrètement
La réponse de Google porte un nom peu engageant : Device Bound Session Credentials, ou DBSC. Derrière ce sigle se cache un changement de logique fondamental dans la façon dont Chrome gère vos sessions de connexion.
Avec DBSC, votre session n’est plus seulement liée à un cookie que n’importe qui peut copier. Elle est désormais cryptographiquement ancrée à votre machine physique. Chrome génère une paire de clés unique stockée dans la puce de sécurité de votre ordinateur, le module TPM sur Windows ou le Secure Enclave sur Mac. L’élément critique est que la clé privée ne peut pas être exportée de votre machine. Elle ne quitte jamais la puce.
En pratique, cela signifie que les cookies de session court-circuit. Ils expirent régulièrement et ne sont renouvelés que si Chrome peut prouver, en temps réel, qu’il se trouve bien sur l’appareil d’origine. Cette preuve passe par la clé stockée dans le TPM. Un pirate qui aurait volé vos cookies ne pourrait pas les renouveler sur sa propre machine, puisqu’il ne dispose pas de la clé privée correspondante. Les badges expirés deviennent inutilisables.
Google indique dans son blog de sécurité une « réduction significative du vol de session » pour les connexions protégées par DBSC lors des premiers déploiements. Le protocole a également été conçu pour respecter la vie privée : il ne transmet au serveur aucun identifiant permanent de l’appareil, uniquement une clé publique spécifique à chaque session. Deux sessions différentes utilisent deux clés distinctes, ce qui empêche de relier vos connexions entre elles.
Disponible maintenant sur Windows, en attente sur Mac et mobile
Chrome 146, disponible depuis avril 2026, active DBSC par défaut pour les utilisateurs Windows. La protection repose sur le TPM, une puce présente sur la quasi-totalité des PC vendus depuis 2016 et rendue obligatoire par Windows 11. En pratique, la grande majorité des ordinateurs sous Windows 10 et 11 sont compatibles sans manipulation.
Les utilisateurs de macOS devront attendre une prochaine version de Chrome non encore annoncée. La technologie cible le Secure Enclave d’Apple, disponible sur tous les Mac à processeur Apple Silicon. Les utilisateurs d’appareils mobiles, iOS et Android, ne sont pas encore concernés par ce déploiement.
Du côté des sites web qui souhaitent activer cette protection pour leurs utilisateurs, l’intégration nécessite de supporter un protocole spécifique côté serveur. Google prévoit d’étendre progressivement le nombre de services compatibles. Les grandes plateformes comme Gmail, YouTube ou Google Drive sont présumées prioritaires dans ce calendrier, même si aucune date précise n’a été communiquée.
Ce qui reste hors de portée de DBSC
La protection n’est pas universelle. Si un pirate prend le contrôle total de votre machine, par exemple via un accès physique ou un logiciel malveillant disposant des droits administrateur, DBSC ne change rien. Dans ce cas, l’attaquant peut agir directement depuis votre appareil, avec votre clé légitime.
De même, les attaques qui interceptent vos données en transit, comme certaines formes d’attaques dites « de l’homme du milieu » sur des réseaux non sécurisés, ne sont pas concernées par cette protection. DBSC s’attaque spécifiquement au vol de cookies après leur émission, pas à leur interception pendant leur transmission.
Autre point de vigilance relevé par les chercheurs de SpyCloud : des familles de logiciels malveillants avaient déjà réussi à contourner la précédente génération de protection de Chrome, appelée app-bound encryption. DBSC est une approche plus robuste car elle implique le matériel, et non plus seulement le logiciel, mais elle ne doit pas être considérée comme une solution définitive. Les développeurs de malwares adaptent régulièrement leurs outils aux nouvelles protections.
Pourquoi cette mise à jour arrive maintenant
Le vol de session a explosé ces deux dernières années, en partie parce que la généralisation de l’authentification à deux facteurs a rendu le vol de mots de passe moins rentable. Les pirates se sont naturellement déplacés vers la couche suivante, celle des cookies, qui contourne les protections par code SMS ou application d’authentification.
Google et les autres grands navigateurs se retrouvent dans une course permanente contre des outils malveillants de plus en plus sophistiqués. DBSC représente un changement de paradigme en introduisant le matériel dans l’équation, une approche que les navigateurs avaient jusqu’ici laissée aux applications bancaires et aux gestionnaires de mots de passe spécialisés. La prochaine étape annoncée par Google inclut la compatibilité avec les systèmes d’authentification unifiée d’entreprise, qui protègent des dizaines de services en même temps avec un seul identifiant.
La mise à jour Chrome 146 est disponible immédiatement. Pour vérifier que votre navigateur est à jour, il suffit d’aller dans le menu Chrome, puis « Aide » et « À propos de Google Chrome ».
