Chrome 146 protège vos comptes pro du vol de cookies

Imaginez : un de vos collaborateurs clique sur un lien piégé, et quelques secondes plus tard, un cybercriminel accède librement à sa messagerie, ses fichiers ou votre outil de gestion — sans même connaître son mot de passe. Sans que votre double authentification (MFA) ne sonne la moindre alarme. Ce scénario, loin d'être de la science-fiction, est exactement ce que permettait le vol de cookies de session. La bonne nouvelle : Google vient de déployer avec Chrome 146 une protection automatique qui ferme cette porte d'entrée. Voici ce que vous devez savoir, sans jargon.

Pourquoi le vol de cookies était une menace aussi discrète que redoutable

Quand l'un de vos employés se connecte à un service en ligne — Microsoft 365, Google Workspace, votre CRM — son navigateur reçoit un petit fichier appelé cookie de session. Ce cookie sert de laissez-passer : il dit au site web « cet utilisateur s'est déjà authentifié, laisse-le entrer ». Pratique pour ne pas retaper son mot de passe toutes les cinq minutes. Mais voilà le problème : si un pirate parvient à voler ce cookie, il peut se faire passer pour votre collaborateur sans avoir besoin ni du mot de passe, ni du code envoyé par SMS ou application d'authentification. Le MFA — pourtant recommandé partout — devient inutile face à cette technique. Les cybercriminels utilisent pour cela des logiciels malveillants baptisés « infostealers », souvent téléchargés par accident via un faux logiciel ou une pièce jointe piégée. Ce type d'attaque explose en France chez les PME, précisément parce qu'elles sont moins bien protégées que les grandes entreprises et que leurs comptes professionnels valent cher sur le marché noir.

DBSC : ce que Chrome 146 change concrètement pour vos équipes

Chrome 146 intègre une technologie appelée DBSC, pour Device Bound Session Credentials — littéralement « identifiants de session liés à l'appareil ». L'idée est simple mais efficace : au lieu de stocker un cookie de session qui peut être copié et utilisé n'importe où, Chrome crée désormais une clé de sécurité unique, ancrée dans la puce de sécurité de l'ordinateur (appelée TPM, présente sur la quasi-totalité des PC professionnels achetés depuis 2016). Concrètement, même si un pirate réussit à voler le cookie de session de votre collaborateur, ce cookie devient inutilisable ailleurs. Il est lié à la machine physique sur laquelle la session a été ouverte. Sans l'ordinateur d'origine, impossible de s'en servir. Pour vos équipes, rien ne change dans leur façon de travailler au quotidien. La protection est entièrement transparente et automatique. Pour les pirates, en revanche, c'est une impasse : l'une de leurs techniques favorites vient d'être neutralisée.

Une protection automatique, mais seulement si Chrome est à jour

C'est là que votre rôle entre en jeu. La protection DBSC de Chrome 146 ne fonctionne que si le navigateur est bien mis à jour sur les postes de vos collaborateurs. Or, dans de nombreuses PME, les mises à jour sont différées, ignorées ou bloquées par habitude. Un Chrome en version 130 ou 140 n'a pas cette protection. Votre entreprise reste alors exposée à la même menace qu'avant. Il est également important de noter que DBSC sera progressivement adopté par les sites et services web eux-mêmes — Google a déjà commencé à l'activer sur ses propres services. La protection sera donc d'autant plus efficace que vos collaborateurs utilisent des services compatibles. Enfin, cette technologie fonctionne sur Windows avec une puce TPM activée. Si vous avez des doutes sur la configuration de vos machines, c'est le bon moment pour en parler avec votre prestataire informatique ou votre DSI.

Ce que vous pouvez faire dès maintenant

1. Vérifiez la version de Chrome sur tous vos postes. Rendez-vous dans le menu Chrome (les trois points en haut à droite) > Aide > À propos de Google Chrome. Si la version affichée est inférieure à 146, une mise à jour s'impose immédiatement.

2. Activez les mises à jour automatiques de Chrome. Sur Windows, Chrome se met normalement à jour seul, mais certaines configurations d'entreprise le bloquent. Demandez à votre prestataire IT de vérifier que cette option est bien active sur l'ensemble du parc.

3. Sensibilisez vos collaborateurs au phishing et aux faux logiciels. Le vol de cookies commence presque toujours par un clic malheureux. Un rappel simple sur les pièces jointes suspectes et les téléchargements non sollicités peut éviter beaucoup de dégâts.

4. Vérifiez que vos PC disposent d'une puce TPM activée. La protection DBSC en dépend. Un technicien peut vérifier cela en quelques minutes sur chaque poste.

5. Continuez à utiliser le MFA — il reste indispensable. DBSC renforce votre sécurité, mais ne remplace pas la double authentification. Les deux ensemble offrent une protection nettement supérieure contre la majorité des attaques ciblant les PME françaises aujourd'hui.