Les experts ont découvert qu’il existe déjà plusieurs logiciels malveillants qui exploitent cette vulnérabilité, et Google a déclaré que pour résoudre le problème, il suffit de quitter le navigateur en question ou de supprimer l’accès à distance de la page des appareils Google. BigG a également recommandé d’activer la navigation sécurisée améliorée pour votre compte. Un nouveau protocole qui rend les cookies privés vient à la rescousse. Pour lutter contre cette situation, l’équipe de développement derrière Chrome a mis au point un nouveau protocole appelé Device Bound Session Credentials (DBSC).
Comment fonctionne DBSC
Ce système combat le vol de cookies en « liant les sessions d’authentification à l’appareil » avec une « paire de clés publique/privée localement sur l’appareil ». La clé privée est stockée sur le système d’exploitation (ordinateur de bureau) à l’aide de modules de plateforme sécurisée (TPM) ou d’approches logicielles, ce qui rend son vol plus difficile. L’API permet à un serveur d’associer une session à cette clé publique, en remplacement ou en complément des cookies existants, et vérifie la preuve de possession de la clé privée pendant toute la durée de la session. Pour garantir la confidentialité, « chaque session est soutenue par une clé unique, et DBSC ne permet pas aux sites de corréler les clés de différentes sessions sur le même appareil ». Enfin, Google s’efforce de garantir que « DBSC ne devienne pas un nouveau vecteur de suivi une fois les cookies tiers supprimés ». En effet, Google assure que « la seule information envoyée au serveur est la clé publique par session que le serveur utilise pour certifier la preuve de possession de la clé ».
Google teste déjà le protocole DBSC dans Chrome Beta pour certains comptes Google, et l’intention est de faire de DBSC un standard Web ouvert. Google a pour objectif de le tester de manière approfondie d’ici fin 2024 en cachant la fonction derrière un drapeau activable par ceux qui souhaitent l’utiliser. Son développement est disponible sur GitHub et Microsoft, Okta et d’autres sociétés ont manifesté leur intérêt.