DBSC : Google déploie sa nouvelle arme contre le piratage de sessions sur Chrome
Chrome 146, Windows, 9 avril 2026. Google déploie DBSC — Device Bound Session Credentials — sa réponse cryptographique au vol de cookies. Avant DBSC, un infostealer comme Lumma pouvait aspirer vos cookies et revendre l'accès à vos comptes. Avec DBSC, le cookie volé expire. Et sans la puce TPM de votre machine, impossible de le renouveler. La partie la plus rentable du session hijacking vient d'être neutralisée.
Dans cet article
Le problème : les cookies de session comme clés universelles
Un cookie de session est un petit fichier qu'un site web dépose dans votre navigateur après que vous vous êtes connecté. Il dit au serveur "c'est bien moi, pas besoin de me redemander mon mot de passe pour chaque page". C'est le mécanisme qui fait que vous restez connecté à Gmail ou Twitter sans vous identifier à chaque visite.
Le problème est structurel : jusqu'à DBSC, n'importe qui qui récupère ce fichier peut se connecter à votre place, de n'importe quel appareil, sans connaître votre mot de passe, sans déclencher la double authentification. Les infostealers comme Lumma sont des malwares conçus précisément pour aspirer ces cookies dans les navigateurs. Les données volées sont revendues sur des marchés cybercriminels — les acheteurs pratiquent le session hijacking.
❌ Sans DBSC — situation actuelle
Le cookie = accès universel
- — Infostealer aspire le cookie
- — Cookie revendu sur marché criminel
- — Acheteur se connecte depuis n'importe où
- — Pas de mot de passe requis
- — 2FA contournée pour cette session
✅ Avec DBSC — Chrome 146
Le cookie = accès lié à la machine
- ✓ Cookie volé expire (durée courte)
- ✓ Renouvellement requiert la clé TPM
- ✓ Clé TPM ne quitte pas la machine
- ✓ Attaquant ne peut pas renouveler
- ✓ Session hijacking neutralisé
DBSC : la solution cryptographique de Google
Device Bound Session Credentials résout le problème à la racine : plutôt que de rendre les cookies volés moins utilisables en aval (par la détection, la géolocalisation, le fingerprinting), DBSC les rend techniquement inutilisables en dehors de l'appareil qui les a créés.
Le principe repose sur une cryptographie à clé publique combinée à la puce de sécurité de l'appareil. Chrome génère une paire de clés — une publique, une privée. La clé privée est stockée dans le TPM (Trusted Platform Module) sur Windows, ou dans le Secure Enclave sur macOS. Ces composants ont une propriété fondamentale : ils peuvent utiliser la clé pour des opérations cryptographiques, mais ne la communiquent jamais à l'extérieur.
Le mécanisme pas à pas
🔐 Comment DBSC protège votre session
Étape 1 — Connexion initiale
Chrome génère une paire de clés
À votre connexion, Chrome génère une paire de clés cryptographiques. La clé publique est envoyée au serveur. La clé privée est stockée dans le TPM — elle ne sort jamais de cette puce.
Étape 2 — Session liée à l'appareil
Le serveur enregistre la clé publique
Le serveur associe votre session à la clé publique reçue. Il émet un premier cookie temporaire. Ce cookie a une durée de vie courte — quelques heures au maximum.
Étape 3 — Renouvellement de session
Chrome doit prouver qu'il détient la clé
Avant l'expiration du cookie, Chrome demande un renouvellement au serveur. Le serveur envoie un défi cryptographique. Chrome doit le signer avec la clé privée en demandant au TPM d'effectuer l'opération.
Étape 4 — Vérification serveur
Le serveur vérifie la signature
Le serveur vérifie la signature avec la clé publique enregistrée à l'étape 2. Si la vérification réussit, un nouveau cookie est émis. Si elle échoue, la session est terminée.
Ce que ça change pour l'attaquant
Le cookie volé expire et ne peut pas être renouvelé
L'attaquant peut voler le cookie — mais il expire. Pour le renouveler, il devrait avoir accès au TPM de votre machine physique. Sans ça, la session meurt à l'expiration. Le vol de cookie seul ne suffit plus.
Le rôle du TPM et du Secure Enclave
La robustesse de DBSC repose entièrement sur un composant matériel : le TPM (Trusted Platform Module) sur Windows, et le Secure Enclave sur macOS. Ces puces de sécurité intégrées à la carte mère ont une propriété unique : elles stockent des secrets cryptographiques et effectuent des opérations avec eux, mais ne les communiquent jamais à aucun logiciel.
| Composant | Plateforme | Rôle dans DBSC | Disponibilité |
|---|---|---|---|
| TPM 2.0 | Windows | Stocke la clé privée, signe les défis cryptographiques | Obligatoire depuis Windows 11 |
| Secure Enclave | macOS | Même rôle — implémentation Apple Silicon | Mac M1 et versions ultérieures |
| Sans puce compatible | Appareils anciens | Chrome bascule vers comportement classique | Pas de protection DBSC |
Bonne nouvelle : si vous avez Windows 11, votre machine a presque certainement un TPM 2.0 — c'est une exigence obligatoire pour installer Windows 11. Vous bénéficiez donc automatiquement de la protection DBSC dès Chrome 146 sans aucune configuration supplémentaire.
Déploiement progressif : où en est-on
Disponible maintenant
Windows — Chrome 146
Déployé depuis le 9 avril 2026. TPM 2.0 requis. Automatique sur Windows 11.
Prochains mois
macOS — Chrome
Déploiement prévu via Secure Enclave. Pas de date précise annoncée.
Rétrocompatible
Appareils sans TPM
Chrome revient automatiquement au comportement classique. Pas de régression.
Le développement de DBSC a commencé en 2024 avec une phase de bêta ouverte lancée en juillet 2025. Google affirme avoir constaté une réduction significative des vols de sessions depuis cette phase de test. Chrome avait déjà simplifié le remplissage automatique dans une version précédente — DBSC s'inscrit dans la même logique d'amélioration de la sécurité du quotidien numérique.
Lumma et les infostealers face à DBSC
Lumma est l'un des infostealers les plus actifs depuis 2023. Son module de collecte de cookies permet d'aspirer les données de session de Chrome, Firefox, Edge et d'autres navigateurs en quelques secondes après l'infection. Les données collectées incluent les cookies de Google, Microsoft, banques, réseaux sociaux, services professionnels — tout ce qui permet de se connecter sans mot de passe.
Avec DBSC, le modèle économique des infostealers spécialisés dans les cookies de session subit un choc significatif. Les cookies volés ont désormais une durée de vie effective beaucoup plus courte — ils expirent avant que l'attaquant puisse les monétiser ou les exploiter, et impossible de les renouveler sans la machine physique.
DBSC n'est pas une protection absolue : les infostealers peuvent encore voler des mots de passe, des clés SSH, des jetons API et d'autres secrets. DBSC protège spécifiquement les cookies de session — pas l'ensemble de la surface d'attaque. La mise à jour de Chrome reste indispensable, mais elle ne dispense pas d'un antivirus actif et de pratiques de sécurité de base.
Un email sur quatre est malveillant — les infostealers circulent précisément via des pièces jointes email et des téléchargements. Les hackers exploitent la confiance accordée aux outils familiers pour déposer ces malwares.
Un standard web ouvert conçu avec Microsoft
Google n'a pas développé DBSC en silo. Le standard a été conçu dès le départ en partenariat avec Microsoft, avec l'objectif d'en faire une norme web ouverte que d'autres navigateurs pourront adopter. C'est une différence notable par rapport aux protections propriétaires : si DBSC devient un standard W3C, Firefox, Safari et Edge pourront l'implémenter, rendant la protection universelle.
La CNIL prépare de nouvelles règles sur les cyberattaques — une norme web ouverte comme DBSC s'inscrit dans ce mouvement de fond vers des protections standardisées plutôt que fragmentées. L'administration publique reste la cible n°1 des cyberattaques en Europe — pour ces organisations, DBSC représente une protection concrète contre une technique d'intrusion très courante. La cybersécurité n'est jamais une solution unique — mais DBSC est une couche défensive robuste qui manquait depuis longtemps.
La fuite de 403 millions de comptes en France illustre l'ampleur des dommages que la compromission de sessions peut provoquer. DBSC ne résout pas tout — mais sur le vecteur spécifique du vol de cookies, c'est la protection la plus robuste jamais déployée à cette échelle.
Votre site aussi sécurisé que Chrome 146
WY-Créations® développe des sites avec les standards de sécurité à jour — HTTPS, headers sécurisés, cookies SameSite, Content Security Policy. La sécurité n'est pas une option.
Demander un devis gratuitQuestions fréquentes
Qu'est-ce que DBSC dans Chrome ?
DBSC (Device Bound Session Credentials) est une protection cryptographique déployée dans Chrome 146 depuis le 9 avril 2026 sur Windows. Elle lie chaque cookie de session à l'appareil physique via une clé privée stockée dans la puce TPM. Un cookie volé ne peut pas être renouvelé sans cette clé — il devient inutilisable dès son expiration.
DBSC empêche-t-il complètement le vol de cookies de session ?
Non. Un attaquant peut toujours voler le cookie. Mais ce cookie a une durée de vie limitée et doit être renouvelé régulièrement. Ce renouvellement requiert la preuve cryptographique via le TPM de l'appareil d'origine — impossible sans la machine physique. Le vol de cookie seul ne suffit plus à maintenir l'accès à un compte.
Qu'est-ce qu'un TPM et ai-je besoin d'en avoir un ?
Le TPM (Trusted Platform Module) est une puce de sécurité intégrée à votre carte mère. Sur Windows 11, c'est une exigence obligatoire — si vous avez Windows 11, vous avez presque certainement un TPM 2.0 et bénéficiez automatiquement de DBSC dans Chrome 146. Sur les appareils plus anciens sans TPM compatible, Chrome revient au comportement classique.
DBSC fonctionne-t-il sur macOS ?
Pas encore dans cette version. Google prévoit le déploiement sur macOS dans les prochains mois, via le Secure Enclave des Mac Apple Silicon. Les Mac Intel plus anciens pourraient avoir des limitations selon leur configuration matérielle.
DBSC protège-t-il aussi contre les infostealers comme Lumma ?
Partiellement. DBSC neutralise la valorisation des cookies de session volés par les infostealers. Les cookies expirent et ne peuvent pas être renouvelés sans la machine physique. Cependant, les infostealers peuvent encore voler des mots de passe, clés SSH, jetons API et d'autres données. DBSC est une protection spécifique contre le session hijacking via cookies, pas une protection universelle contre les malwares.
DBSC est-il une technologie propriétaire de Google ?
Non. Il a été conçu dès le départ en partenariat avec Microsoft comme standard web ouvert. L'objectif est qu'il soit adopté par d'autres navigateurs (Firefox, Safari, Edge) et que les sites web puissent l'implémenter indépendamment du navigateur utilisé.
Dois-je faire quelque chose pour activer DBSC ?
Non. La protection est automatique sur les appareils compatibles (TPM 2.0 sur Windows). Assurez-vous simplement que Chrome est mis à jour vers la version 146 ou supérieure (Paramètres → Aide → À propos de Google Chrome pour vérifier et mettre à jour).
Depuis quand Google teste-t-il DBSC ?
Le développement a commencé en 2024 et la bêta ouverte a débuté en juillet 2025. Google a constaté une réduction significative des vols de sessions depuis cette phase de test, ce qui a conduit au déploiement général dans Chrome 146 le 9 avril 2026.
📚 Sources et articles associés