Google a dévoilé une nouvelle fonctionnalité de sécurité pour son navigateur Chrome, appelée App-Bound Encryption, qui vise à empêcher les logiciels malveillants voleurs d'informations de tenter d'accéder aux cookies sur les systèmes d'exploitation Windows.
Selon Will Harris de l'équipe de sécurité de Chrome, Chrome utilise l'API de protection des données (DPAPI). pour protéger les données au repos des autres utilisateurs ou des attaques de démarrage à froid sur les systèmes Windows. Cependant, DPAPI n'offre pas de protection contre les applications malveillantes qui exécutent du code en tant qu'utilisateur connecté, ce qui le rend vulnérable aux attaques de vol d'informations.
Le chiffrement lié aux applications est une mesure de sécurité qui améliore l'API de protection des données (DPAPI) en intégrant l'identité d'une application, telle que Chrome, dans les données chiffrées. Cette inclusion garantit que les autres applications du système ne peuvent pas accéder aux données lorsqu'elles tentent de les décrypter. Harris a noté qu'en raison du service lié à l'application fonctionnant avec des privilèges système, les attaquants potentiels devraient élever leurs privilèges ou injecter du code dans Chrome afin de contourner cette fonctionnalité de sécurité ; il s'agit d'un scénario hautement improbable pour un logiciel légitime.
La liaison étroite de la clé de chiffrement à la machine empêche cette méthode d'être compatible avec les environnements dans lesquels les profils Chrome se déplacent entre plusieurs machines. Il est recommandé aux organisations employant des profils itinérants de mettre en œuvre les bonnes pratiques et de configurer ApplicationBoundEncryptionEnabled.
Cette récente amélioration de la sécurité, mise en œuvre dans Chrome 127, se concentre actuellement uniquement sur la protection des cookies. Néanmoins, Google a l'intention d'étendre cette protection aux mots de passe, aux informations de paiement et aux jetons d'authentification supplémentaires à l'avenir.
En avril, Google a présenté une méthode utilisant un type de journal des événements Windows, DPAPIDefInformationEvent, pour identifier les instances d'autres applications sur le système accédant aux cookies et aux informations d'identification du navigateur.
Pour les systèmes macOS et Linux, Chrome garantit la sécurité des mots de passe et des cookies en tirant parti des services de trousseau et des portefeuilles fournis par le système comme kwallet ou gnome-libsecret.
Ce développement fait suite à de nombreuses améliorations de sécurité introduites dans Chrome, telles que la navigation sécurisée améliorée, les informations d'identification de session liées au périphérique (DBSC) et les vérifications automatisées des téléchargements potentiellement malveillants. Harris a souligné que le chiffrement lié aux applications augmente la complexité et la détectabilité des efforts de vol de données, aidant ainsi les équipes de sécurité à définir des limites explicites pour les actions acceptables par d'autres applications au sein du système.
Par ailleurs, il convient de noter que Google a récemment pris la décision de ne pas déconseiller les cookies tiers dans Chrome. Cette décision a été critiquée par le World Wide Web Consortium (W3C). Le W3C s'est dit préoccupé par l'utilisation continue de cookies tiers, car ils permettent le suivi, ce qui peut avoir des implications négatives pour la société, notamment en termes de soutien à des messages politiques micro-ciblés. De plus, le W3C a averti que cette décision pourrait potentiellement entraver les progrès dans le développement d'alternatives viables aux cookies tiers pour divers navigateurs Web.