Des cookies aux mots de passe : Chrome étend sa sécurité sur Windows
Les cybercriminels continuent de représenter une menace importante pour la sécurité en utilisant des logiciels malveillants destinés à voler des informations de cookies. Bien que des mesures de protection soient déjà en place, notamment au niveau des téléchargements de Chrome, des identifiants de session et de la détection des menaces via les comptes Google, une nouvelle couche de protection est désormais introduite pour les utilisateurs de Windows.
Traditionnellement, Chrome sécurise les données sensibles comme les cookies et les mots de passe en utilisant les techniques disponibles sur les systèmes d’exploitation respectifs : services de trousseau sur macOS et portefeuille de système sur Linux. Sur Windows, Chrome utilise l’API de protection des données (DPAPI). Toutefois, bien que DPAPI protège les données au repos, elle n’est pas suffisante contre les logiciels malveillants capables d’exécuter du code en tant qu’utilisateur connecté.
Avec la version 127 de Chrome, une nouvelle protection est introduite, qui améliore DPAPI en utilisant des primitives de chiffrement liées à l’application. Cette méthode empêche toute application exécutée sous l’identité de l’utilisateur connecté d’accéder aux données chiffrées par Chrome, en chiffrant les données en lien avec l’identité de l’application, similaire au fonctionnement du trousseau sur macOS.
Migration et extension des protections
Le déploiement de cette nouvelle protection commence par les cookies dans Chrome 127 et s’étendra dans les futures versions aux mots de passe, données de paiement et autres jetons d’authentification persistants. Cela offrira une protection accrue contre les logiciels malveillants.
Fonctionnement du chiffrement lié à l’application
Le chiffrement lié à l’application repose sur un service privilégié pour vérifier l’identité de l’application demandeuse. Lors du chiffrement, ce service encode l’identité de l’application dans les données chiffrées et valide cette identité lors du déchiffrement. Ainsi, toute autre application tentant de déchiffrer ces données échouera.
Étant donné que ce service fonctionne avec des privilèges système, les attaquants doivent non seulement inciter un utilisateur à exécuter une application malveillante, mais aussi obtenir des privilèges système ou injecter du code dans Chrome. Cela rend leurs actions plus visibles et susceptibles d’être détectées par les logiciels antivirus. Des initiatives récentes, comme la fourniture de journaux d’événements pour le décryptage des cookies, complètent cette protection, augmentant le coût et le risque pour les attaquants.
Considérations pour les entreprises
Dans les environnements d’entreprise où les utilisateurs n’ont pas les droits pour exécuter des fichiers téléchargés en tant qu’administrateur, cette protection est particulièrement efficace. Les logiciels malveillants ne peuvent pas demander de privilèges élevés et doivent recourir à des techniques détectables comme l’injection.
Cependant, le chiffrement lié à l’application ne fonctionne pas correctement dans les environnements où les profils Chrome sont itinérants entre plusieurs machines. Les entreprises doivent suivre les meilleures pratiques actuelles pour les profils itinérants et peuvent configurer le chiffrement lié à l’application via la stratégie ApplicationBoundEncryptionEnabled.
Source : Google