Google a annoncé qu’il ajoutait une nouvelle couche de protection à son navigateur Chrome grâce à ce que l’on appelle le cryptage lié aux applications pour empêcher les logiciels malveillants voleurs d’informations de récupérer les cookies sur les systèmes Windows.
“Sous Windows, Chrome utilise l’API de protection des données (DPAPI) qui protège les données au repos des autres utilisateurs du système ou des attaques de démarrage à froid”, a déclaré Will Harris de l’équipe de sécurité de Chrome. “Cependant, le DPAPI ne protège pas contre les applications malveillantes capables d’exécuter du code en tant qu’utilisateur connecté, ce dont profitent les voleurs d’informations.”
Le chiffrement lié aux applications est une amélioration par rapport à DPAPI dans la mesure où il intègre l’identité d’une application (c’est-à-dire Chrome dans ce cas) dans des données chiffrées pour empêcher une autre application du système d’y accéder lors d’une tentative de décryptage.
“Étant donné que le service lié à l’application fonctionne avec des privilèges système, les attaquants doivent faire plus que simplement inciter un utilisateur à exécuter une application malveillante”, a déclaré Harris. “Désormais, le malware doit obtenir des privilèges système ou injecter du code dans Chrome, ce que les logiciels légitimes ne devraient pas faire.”
Étant donné que la méthode lie fortement la clé de chiffrement à la machine, elle ne fonctionnera pas correctement dans les environnements où les profils Chrome se déplacent entre plusieurs machines. Les organisations qui prennent en charge les profils itinérants sont encouragées à suivre ses meilleures pratiques et à configurer la stratégie ApplicationBoundEncryptionEnabled.
Le changement, entré en vigueur la semaine dernière avec la sortie de Chrome 127, s’applique uniquement aux cookies, bien que Google ait annoncé son intention d’étendre cette protection aux mots de passe, aux données de paiement et à d’autres jetons d’authentification persistants.
En avril, le géant de la technologie a présenté une technique qui utilise un type de journal d’événements Windows appelé DPAPIDefInformationEvent pour détecter de manière fiable l’accès aux cookies du navigateur et aux informations d’identification à partir d’une autre application du système.
Il convient de noter que le navigateur Web sécurise les mots de passe et les cookies dans les systèmes Apple macOS et Linux à l’aide des services de trousseau et des portefeuilles fournis par le système tels que kwallet ou gnome-libsecret, respectivement.
Ce développement intervient au milieu d’une série d’améliorations de sécurité ajoutées à Chrome ces derniers mois, notamment une navigation sécurisée améliorée, des informations d’identification de session liées au périphérique (DBSC) et des analyses automatisées lors du téléchargement de fichiers potentiellement suspects et malveillants.
“Le chiffrement lié aux applications augmente le coût du vol de données pour les attaquants et rend également leurs actions beaucoup plus bruyantes sur le système”, a déclaré Harris. “Cela aide les défenseurs à tracer une ligne claire sur ce qui constitue un comportement acceptable pour les autres applications du système.”
Cela fait également suite à l’annonce de Google selon laquelle il ne prévoit plus de déprécier les cookies tiers dans Chrome, ce qui a incité le World Wide Web Consortium (W3C) à réitérer qu’ils permettent le suivi et que cette décision sape les progrès réalisés jusqu’à présent pour faire fonctionner le Web sans cookies tiers.
“Le suivi, puis la collecte et le courtage de données peuvent soutenir le micro-ciblage des messages politiques, ce qui peut avoir un impact néfaste sur la société”, a-t-il déclaré. “Cette malheureuse baisse aura également des effets secondaires, car elle est susceptible de retarder le travail entre navigateurs sur des alternatives efficaces aux cookies tiers.”