Examiner les cookies de session suspects et prendre les mesures adéquates

En tant qu'administrateur Google Workspace, vous pouvez utiliser des alertes par e-mail pour être averti si des utilisateurs sont déconnectés en raison de cookies de session suspects. Le piratage par vol de cookies, ou détournement de session, consiste à voler l'ID de session d'un utilisateur à l'aide de cookies générés lorsqu'il se connecte à son compte. Chaque fois qu'un cookie de session suspect est détecté, la session est arrêtée, et l'utilisateur est déconnecté de son compte pour cette session et de toutes les sessions suspectes associées sur cet appareil.

Lorsque l'utilisateur tente de se reconnecter sur le même appareil, un message lui demande de supprimer les logiciels malveillants ou non sécurisés. L'utilisateur doit également suivre une étape de validation supplémentaire lorsqu'il se reconnecte au compte sur l'appareil.

À l'aide de l'outil d'investigation sur la sécurité ou de l'outil d'audit et d'investigation, vous pouvez identifier les tentatives de piratage des comptes utilisateur via des cookies de session dans votre organisation.

Étape 1 : Lancez votre enquête

Option 1 : Examiner les cookies de session suspects dans l'outil d'investigation de sécurité

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisCentre de sécuritépuisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Dans le menu Source de données, sélectionnez Événements de journaux des utilisateurs.
  3. Dans le menu Ajouter une condition, sélectionnez Événement et assurez-vous que la condition est définie sur Est (option par défaut).
  4. Dans le menu Événement, sélectionnez Déconnexion de l'utilisateur en raison d'un cookie de session suspect.
  5. Cliquez sur Rechercher.
    Les résultats de la recherche sont affichés en bas de la page.

Option 2 : Examiner les cookies de session suspects sur la page "Audit et enquête"

  1. Dans la console d'administration Google, accédez à Menu puis Création de rapportspuisAudit et enquêtepuisÉvénements de journaux des utilisateurs.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Cliquez sur Ajouter un filtre, puis sélectionnez Événement.
  3. Dans la fenêtre pop-up, assurez-vous que l'opérateur dans le menu supérieur est défini sur Est (option par défaut), puis sélectionnez Déconnexion de l'utilisateur en raison d'un cookie de session suspect dans le menu inférieur, puis cliquez sur Appliquer.
  4. Cliquez sur Rechercher.
    Les journaux sont affichés en bas de la page.

Étape 2 : Intervenir

Dans la colonne Description, cliquez sur Cookie de session suspect pour ouvrir le panneau Détails du journal. Chaque journal indique un utilisateur concerné. Aidez les utilisateurs concernés à suivre la procédure permettant de supprimer les logiciels malveillants ou non sécurisés.

Sécuriser les comptes piratés

Si vous pensez qu'un compte a été piraté, vous pouvez, en tant qu'administrateur, vous assurer que les comptes de vos utilisateurs sont sécurisés. Aidez les utilisateurs concernés à identifier et sécuriser les comptes piratés.