Empêcher le vol de cookies avec la liaison de session (bêta)

En tant qu'administrateur, vous pouvez renforcer la sécurité des sessions en ligne de vos utilisateurs en implémentant des identifiants de session liés à l'appareil. Ces identifiants sont conçus pour empêcher le détournement de session, également appelé vol de cookies.

Ce type de cyberattaque se produit lorsqu'un tiers non autorisé prend le contrôle de la session Web active d'un utilisateur en dérobant le cookie de session, souvent par le biais d'un logiciel malveillant sur l'appareil de l'utilisateur. Un cookie de session est un petit fichier de données contenant l'identifiant de session unique émis par le site Web lors de la connexion. En présentant ce cookie volé, l'attaquant peut se faire passer pour l'utilisateur légitime et poursuivre sa session authentifiée.

Les identifiants de session liés à l'appareil fonctionnent en liant la session d'un utilisateur à son appareil spécifique, ce qui rend difficile l'utilisation de cookies volés sur d'autres appareils par les pirates. En utilisant ces identifiants, vous pouvez réduire le risque d'accès non autorisé aux comptes utilisateur et protéger les données utilisateur sensibles.

Conditions requises pour utiliser les identifiants de session liés à l'appareil

  • Chrome pour Windows : actuellement, les identifiants de session liés à l'appareil ne sont disponibles que dans le navigateur Chrome pour les appareils Windows.
  • Sécurité matérielle (TPM) : l'appareil de l'utilisateur doit être équipé d'un TPM (Trusted Platform Module), un composant matériel standard déjà disponible pour la plupart des appareils exécutant Windows 11. Ce matériel stocke de manière sécurisée les clés cryptographiques utilisées pour lier la session à l'appareil. Les utilisateurs peuvent généralement trouver des informations sur la disponibilité du TPM dans les paramètres système de leur appareil ou en consultant la documentation du fabricant de l'appareil.
  • Version de Chrome : l'utilisateur doit disposer de Chrome 136 ou d'une version ultérieure. Pour en savoir plus, consultez Mettre à jour Google Chrome.
  • Compte principal : la protection des identifiants de session liés à l'appareil et les données d'événement de journal ne sont disponibles que pour le compte principal d'un profil de navigateur Chrome.

Remarque : La liaison de session protège la plupart des cookies Google, mais certains cookies ou sessions peuvent rester non liés.

Activer les identifiants de session liés à l'appareil

Avant de commencer : si nécessaire, découvrez comment appliquer le paramètre à un service ou à un groupe.

  1. Dans la console d'administration Google, accédez à Menu puis Sécurité puis Contrôle des accès et des données puis Contrôle de session Google.

    Vous devez disposer du droit d'administrateur Paramètres de sécurité.

  2. (Facultatif) Pour n'appliquer le paramètre qu'à certains utilisateurs, sur le côté, sélectionnez une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé).

    Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus

  3. Dans le champ Identifiants de session liés à l'appareil, sélectionnez Activer les identifiants de session liés à l'appareil.
  4. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.

    Pour rétablir la valeur héritée ultérieurement, cliquez sur Hériter (ou Non défini pour un groupe).

Appliquer les identifiants de session liés à l'appareil avec l'accès contextuel

Limité aux applications Web pour ordinateur, non applicable aux applications mobiles ni aux API

Vous pouvez renforcer la sécurité en exigeant que les utilisateurs disposent d'un identifiant de session lié à l'appareil pour accéder à des applications Google Workspace spécifiques. Lorsque vous appliquez les identifiants de session liés à l'appareil, les utilisateurs sont invités à se reconnecter si le système détecte une différence avec une session liée précédemment établie. Cette réauthentification permet au système de tenter une nouvelle liaison sécurisée. Les utilisateurs sur des plates-formes non compatibles ne peuvent pas accéder à l'application protégée. Cette mesure de sécurité est configurée via l'accès contextuel.

Pour configurer l'application des identifiants de session liés à l'appareil :

  1. Activez les identifiants de session liés à l'appareil pour les utilisateurs que vous souhaitez protéger. Pour connaître la procédure à suivre, consultez Activer les identifiants de session liés à l'appareil.
  2. Suivez les instructions pour créer un niveau d'accès personnalisé dans Autoriser l'accès aux applications uniquement à partir de sessions liées aux identifiants de session de l'appareil.
  3. Attribuez le niveau d'accès aux applications auxquelles vous souhaitez que seuls les sessions liées aux identifiants de session de l'appareil aient accès en mode Moniteur pour simuler l'application sans bloquer l'accès des utilisateurs.
  4. Après avoir évalué l'impact, attribuez des niveaux d'accès en mode actif pour n'autoriser l'accès qu'aux sessions liées aux identifiants de session de l'appareil. Pour en savoir plus, consultez Déployer l'accès contextuel.

L'application des identifiants de session liés à l'appareil n'est pas immédiate. Autrement dit, après qu'un utilisateur se connecte, un délai de grâce est accordé avant que les identifiants ne soient appliqués. Cette conception permet de gérer les problèmes d'association temporaire potentiels. Une fois l'association effectuée, le système vérifie régulièrement si les utilisateurs qui accèdent aux applications spécifiées disposent de sessions liées aux identifiants de session de l'appareil. Toute réauthentification réinitialisera ce délai de grâce, et les identifiants de session liés à l'appareil ne seront pas appliqués lors de cette réauthentification.

Examiner les problèmes de protection et de session liés aux identifiants de session liés à l'appareil

Vous pouvez utiliser l'outil d'investigation de sécurité pour surveiller la protection des identifiants de session liés à l'appareil et résoudre les problèmes d'interruption de session. Il existe deux sources de journaux pour l'activité des identifiants de session liés à l'appareil :

  • Événements de journaux des utilisateurs : surveillez la liaison des jetons d’accès aux appareils des utilisateurs.
  • Événements de journaux sur l'évaluation des accès : examinez l'état de cookies spécifiques.

Étape 1 : Rechercher l'activité des identifiants de session liés à l'appareil dans les événements de journaux des utilisateurs

Utilisez cette source de données pour vérifier si les identifiants de session liés à l'appareil lient correctement les clés aux appareils des utilisateurs et valident les sessions.

Pour vérifier si les identifiants de session liés à l'appareil lient les clés :

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Dans Source de données, sélectionnez Événements de journaux des utilisateurs.
  3. Cliquez sur Ajouter une condition.
  4. Dans Attribut, sélectionnez ÉvénementpuisEst comme opérateurpuisLiaison de clé des identifiants de session liés à l'appareil comme événement.
  5. Cliquez sur Rechercher.
  6. Dans le tableau des résultats, examinez la colonne État de l'événement :
    • Réussi : la protection des identifiants de session liés à l'appareil est activée pour l' utilisateur, et la session est protégée.
    • Échec : la liaison des identifiants de session liés à l'appareil a échoué, et la protection n'est pas activée pour l'utilisateur.
    • Aucun résultat : la protection des identifiants de session liés à l'appareil n'a pas été tentée pour cette session utilisateur.

Pour vérifier si les identifiants de session liés à l'appareil valident les sessions :

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Cliquez sur Ajouter une condition.
  3. Dans Attribut, sélectionnez ÉvénementpuisEst comme opérateurpuisValidation de la clé associée aux identifiants de session liés à l'appareil comme événement.
  4. Cliquez sur Rechercher.
  5. Dans le tableau des résultats, examinez la colonne État de l'événement :
    • Réussi : le cookie a été validé.
    • Échec : la validation des identifiants de session liés à l'appareil a échoué. Cliquez sur l'état pour obtenir des informations supplémentaires, comme un code d'erreur.

Un échec ne signifie pas nécessairement que l'utilisateur rencontre des interruptions de session interruptions. Les utilisateurs peuvent être interrompus si plusieurs échecs de validation se produisent successivement.

Étape 2 : Vérifier les refus d'accès dans les événements de journaux sur l'évaluation des accès

Utilisez cette source de données pour vérifier si l'accès au cookie d'un utilisateur a été refusé

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Dans Source de données, sélectionnez Événements de journaux sur l'évaluation des accès.
  3. Cliquez sur Ajouter une condition.
  4. Dans Attribut, sélectionnez ÉvénementpuisEst comme opérateurpuisRefuser la demande de validation du cookie comme événement.
  5. Cliquez sur Rechercher.
  6. Dans le tableau des résultats, cliquez sur Refusé dans la colonne État de l'événement ou sur le lien dans la colonne Description pour ouvrir un panneau latéral dans lequel vous pouvez examiner les raisons de l'échec suivantes :
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Les événements de journaux sont regroupés par session. Un seul événement est enregistré par utilisateur toutes les heures, même si plusieurs tentatives d'accès sont bloquées pendant cette période.

Étape 3 : Déterminer si les interruptions de session sont causées par les identifiants de session liés à l'appareil

Les utilisateurs peuvent être déconnectés pour diverses raisons, telles que des limites de durée de session des règles définies par l'administrateur ou des problèmes de réseau. Bien qu'une déconnexion n'indique pas toujours un problème lié aux identifiants de session liés à l'appareil, des séquences de journaux spécifiques peuvent aider à identifier une activité potentielle liée à ces identifiants ou des cas où le système a bloqué une session compromise.

Utilisez ces points pour identifier l'activité liée aux identifiants de session liés à l'appareil :

  • Examiner les séquences de journaux : si vous constatez des échecs de validation de la clé associée aux identifiants de session liés à l'appareil suivis d'une demande de refus de validation du cookie, les identifiants de session liés à l'appareil peuvent être à l'origine de la déconnexion de l'utilisateur.
  • Comprendre l'impact sur l'utilisateur : pour sécuriser le compte, un utilisateur doit se reconnecter si le processus de liaison rencontre une erreur.
  • Exempter des utilisateurs des identifiants de session liés à l'appareil : si un utilisateur est déconnecté de manière répétée, vous pouvez créer un groupe de configuration exempté des identifiants de session liés à l'appareil et y ajouter l'utilisateur pour déterminer si ces identifiants sont à l'origine des déconnexions.


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.