Google a annoncé qu’il ajoutait une nouvelle couche de protection à son navigateur Chrome via ce qu’on appelle le cryptage lié aux applications pour empêcher les logiciels malveillants voleurs d’informations de récupérer les cookies sur les systèmes Windows.
« Sous Windows, Chrome utilise l’API de protection des données (DPAPI) qui protège les données au repos des autres utilisateurs du système ou des attaques de démarrage à froid », Will Harris de l’équipe de sécurité de Chrome dit« Cependant, le DPAPI ne protège pas contre les applications malveillantes capables d’exécuter du code sous le nom de l’utilisateur connecté, ce dont les voleurs d’informations profitent. »
Le cryptage lié à l’application est une amélioration par rapport à DPAPI dans la mesure où il entrelace l’identité d’une application (c’est-à-dire Chrome dans ce cas) dans des données cryptées pour empêcher une autre application du système d’y accéder lorsque le décryptage est tenté.
« Étant donné que le service lié à l’application fonctionne avec des privilèges système, les attaquants doivent faire plus que simplement inciter un utilisateur à exécuter une application malveillante », a déclaré Harris. « Désormais, le logiciel malveillant doit obtenir des privilèges système ou injecter du code dans Chrome, ce que les logiciels légitimes ne devraient pas faire. »
Étant donné que la méthode lie fortement la clé de chiffrement à la machine, elle ne fonctionnera pas correctement dans les environnements où les profils Chrome se déplacent entre plusieurs machines. Les organisations qui prennent en charge les profils itinérants sont encouragées à suivre ses instructions. les meilleures pratiques et configurer le ApplicationBoundEncryptionActivé politique.
Le changement, qui a été mis en ligne la semaine dernière avec la sortie de Chrome 127, s’applique uniquement aux cookies, bien que Google ait déclaré qu’il avait l’intention d’étendre cette protection aux mots de passe, aux données de paiement et à d’autres jetons d’authentification persistants.
En avril dernier, le géant de la technologie décrit une technique qui utilise un type de journal d’événements Windows appelé DPAPIDefInformationEvent pour détecter de manière fiable l’accès aux cookies et aux informations d’identification du navigateur à partir d’une autre application sur le système.
Il convient de noter que le navigateur Web sécurise les mots de passe et les cookies dans les systèmes Apple macOS et Linux à l’aide de Services de trousseau et les portefeuilles fournis par le système tels que kwallet ou gnome-libsecret, respectivement.
Cette évolution intervient dans le cadre d’une série d’améliorations de sécurité ajoutées à Chrome au cours des derniers mois, notamment une navigation sécurisée améliorée, des informations d’identification de session liées à l’appareil (DBSC) et des analyses automatisées lors du téléchargement de fichiers potentiellement suspects et malveillants.
« Le chiffrement lié aux applications augmente le coût du vol de données pour les attaquants et rend leurs actions beaucoup plus bruyantes sur le système », a déclaré Harris. « Il aide les défenseurs à tracer une ligne claire dans le sable pour déterminer ce qui constitue un comportement acceptable pour les autres applications sur le système. »
Cette décision fait également suite à l’annonce de Google selon laquelle il n’envisage plus de supprimer les cookies tiers dans Chrome, ce qui a incité le World Wide Web Consortium (W3C) à réitérer qu’ils permettent le suivi et que la décision compromet les progrès réalisés jusqu’à présent pour faire fonctionner le Web sans cookies tiers.
« Le suivi et la collecte et le courtage ultérieurs de données peuvent favoriser le micro-ciblage des messages politiques, ce qui peut avoir un impact négatif sur la société », a-t-il déclaré. dit« Ce recul malheureux aura également des effets secondaires, car il est susceptible de retarder les travaux inter-navigateurs sur des alternatives efficaces aux cookies tiers. »