{"id":1263093,"date":"2024-08-01T20:05:59","date_gmt":"2024-08-01T22:05:59","guid":{"rendered":"https:\/\/teknomers.com\/fr\/google-chrome-ajoute-un-chiffrement-lie-aux-applications-pour-proteger-les-cookies-contre-les-logiciels-malveillants\/"},"modified":"2024-08-01T20:06:03","modified_gmt":"2024-08-01T22:06:03","slug":"google-chrome-ajoute-un-chiffrement-lie-aux-applications-pour-proteger-les-cookies-contre-les-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/google-chrome-ajoute-un-chiffrement-lie-aux-applications-pour-proteger-les-cookies-contre-les-logiciels-malveillants\/","title":{"rendered":"Google Chrome ajoute un chiffrement li\u00e9 aux applications pour prot\u00e9ger les cookies contre les logiciels malveillants"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>01 ao\u00fbt 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cryptage des donn\u00e9es \/ S\u00e9curit\u00e9 du navigateur<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Google a annonc\u00e9 qu’il ajoutait une nouvelle couche de protection \u00e0 son navigateur Chrome via ce qu’on appelle le cryptage li\u00e9 aux applications pour emp\u00eacher les logiciels malveillants voleurs d’informations de r\u00e9cup\u00e9rer les cookies sur les syst\u00e8mes Windows.<\/p>\n

“Sous Windows, Chrome utilise l’API de protection des donn\u00e9es (DPAPI<\/a>) qui prot\u00e8ge les donn\u00e9es au repos des autres utilisateurs du syst\u00e8me ou des attaques de d\u00e9marrage \u00e0 froid”, Will Harris de l’\u00e9quipe de s\u00e9curit\u00e9 de Chrome dit<\/a>\u00ab Cependant, le DPAPI ne prot\u00e8ge pas contre les applications malveillantes capables d’ex\u00e9cuter du code sous le nom de l’utilisateur connect\u00e9, ce dont les voleurs d’informations profitent. \u00bb<\/p>\n

Le cryptage li\u00e9 \u00e0 l’application est une am\u00e9lioration par rapport \u00e0 DPAPI dans la mesure o\u00f9 il entrelace l’identit\u00e9 d’une application (c’est-\u00e0-dire Chrome dans ce cas) dans des donn\u00e9es crypt\u00e9es pour emp\u00eacher une autre application du syst\u00e8me d’y acc\u00e9der lorsque le d\u00e9cryptage est tent\u00e9.<\/p>\n

\"La<\/a><\/center><\/section>\n

\u00ab \u00c9tant donn\u00e9 que le service li\u00e9 \u00e0 l’application fonctionne avec des privil\u00e8ges syst\u00e8me, les attaquants doivent faire plus que simplement inciter un utilisateur \u00e0 ex\u00e9cuter une application malveillante \u00bb, a d\u00e9clar\u00e9 Harris. \u00ab D\u00e9sormais, le logiciel malveillant doit obtenir des privil\u00e8ges syst\u00e8me ou injecter du code dans Chrome, ce que les logiciels l\u00e9gitimes ne devraient pas faire. \u00bb<\/p>\n

\u00c9tant donn\u00e9 que la m\u00e9thode lie fortement la cl\u00e9 de chiffrement \u00e0 la machine, elle ne fonctionnera pas correctement dans les environnements o\u00f9 les profils Chrome se d\u00e9placent entre plusieurs machines. Les organisations qui prennent en charge les profils itin\u00e9rants sont encourag\u00e9es \u00e0 suivre ses instructions. les meilleures pratiques<\/a> et configurer le ApplicationBoundEncryptionActiv\u00e9<\/a> politique.<\/p>\n

Le changement, qui a \u00e9t\u00e9 mis en ligne la semaine derni\u00e8re<\/a> avec la sortie de Chrome 127, s’applique uniquement aux cookies, bien que Google ait d\u00e9clar\u00e9 qu’il avait l’intention d’\u00e9tendre cette protection aux mots de passe, aux donn\u00e9es de paiement et \u00e0 d’autres jetons d’authentification persistants.<\/p>\n

En avril dernier, le g\u00e9ant de la technologie d\u00e9crit<\/a> une technique qui utilise un type de journal d’\u00e9v\u00e9nements Windows appel\u00e9 DPAPIDefInformationEvent pour d\u00e9tecter de mani\u00e8re fiable l’acc\u00e8s aux cookies et aux informations d’identification du navigateur \u00e0 partir d’une autre application sur le syst\u00e8me.<\/p>\n

Il convient de noter que le navigateur Web s\u00e9curise les mots de passe et les cookies dans les syst\u00e8mes Apple macOS et Linux \u00e0 l’aide de Services de trousseau<\/a> et les portefeuilles fournis par le syst\u00e8me tels que kwallet ou gnome-libsecret, respectivement.<\/p>\n

Cette \u00e9volution intervient dans le cadre d’une s\u00e9rie d’am\u00e9liorations de s\u00e9curit\u00e9 ajout\u00e9es \u00e0 Chrome au cours des derniers mois, notamment une navigation s\u00e9curis\u00e9e am\u00e9lior\u00e9e, des informations d’identification de session li\u00e9es \u00e0 l’appareil (DBSC) et des analyses automatis\u00e9es lors du t\u00e9l\u00e9chargement de fichiers potentiellement suspects et malveillants.<\/p>\n

\u00ab Le chiffrement li\u00e9 aux applications augmente le co\u00fbt du vol de donn\u00e9es pour les attaquants et rend leurs actions beaucoup plus bruyantes sur le syst\u00e8me \u00bb, a d\u00e9clar\u00e9 Harris. \u00ab Il aide les d\u00e9fenseurs \u00e0 tracer une ligne claire dans le sable pour d\u00e9terminer ce qui constitue un comportement acceptable pour les autres applications sur le syst\u00e8me. \u00bb<\/p>\n

Cette d\u00e9cision fait \u00e9galement suite \u00e0 l’annonce de Google selon laquelle il n’envisage plus de supprimer les cookies tiers dans Chrome, ce qui a incit\u00e9 le World Wide Web Consortium (W3C) \u00e0 r\u00e9it\u00e9rer qu’ils permettent le suivi et que la d\u00e9cision compromet les progr\u00e8s r\u00e9alis\u00e9s jusqu’\u00e0 pr\u00e9sent pour faire fonctionner le Web sans cookies tiers.<\/p>\n

\u00ab Le suivi et la collecte et le courtage ult\u00e9rieurs de donn\u00e9es peuvent favoriser le micro-ciblage des messages politiques, ce qui peut avoir un impact n\u00e9gatif sur la soci\u00e9t\u00e9 \u00bb, a-t-il d\u00e9clar\u00e9. dit<\/a>\u00ab Ce recul malheureux aura \u00e9galement des effets secondaires, car il est susceptible de retarder les travaux inter-navigateurs sur des alternatives efficaces aux cookies tiers. \u00bb<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n