Empêcher le vol de cookies avec la liaison de session (bêta)

En tant qu'administrateur, vous pouvez renforcer la sécurité des sessions en ligne de vos utilisateurs en implémentant des identifiants de session liés à l'appareil. Ces identifiants sont conçus pour empêcher le détournement de session, également appelé vol de cookies.

Ce type de cyberattaque se produit lorsqu'un tiers non autorisé prend le contrôle de la session Web active d'un utilisateur en dérobant le cookie de session, souvent à l'aide d'un logiciel malveillant sur l'appareil de l'utilisateur. Un cookie de session est un petit fichier de données contenant l'identifiant de session unique émis par le site Web lors de la connexion. En présentant ce cookie volé, le pirate informatique peut usurper l'identité de l'utilisateur légitime et poursuivre sa session authentifiée.

Les identifiants de session liés à l'appareil fonctionnent en associant la session d'un utilisateur à son appareil spécifique, ce qui rend difficile l'utilisation de cookies volés sur d'autres appareils par des pirates informatiques. En utilisant ces identifiants, vous pouvez réduire le risque d'accès non autorisé aux comptes utilisateur et protéger les données utilisateur sensibles.

Conditions requises pour utiliser les identifiants de session liés à l'appareil

  • Chrome pour Windows : actuellement, les identifiants de session liés à l'appareil ne sont disponibles que dans le navigateur Chrome pour les appareils Windows.
  • Sécurité matérielle (TPM) : l'appareil de l'utilisateur doit être équipé d'un TPM (Trusted Platform Module), un composant matériel standard déjà disponible pour la plupart des appareils exécutant Windows 11. Ce matériel stocke de manière sécurisée les clés cryptographiques utilisées pour associer la session à l'appareil. Les utilisateurs peuvent généralement trouver des informations sur la disponibilité du TPM dans les paramètres système de leur appareil ou en consultant la documentation du fabricant de l'appareil.
  • Version de Chrome : l'utilisateur doit disposer de Chrome 136 ou d'une version ultérieure. Pour en savoir plus, consultez Mettre à jour Google Chrome.
  • Compte principal : la protection DBSC et les données des événements de journaux ne sont disponibles que pour le compte principal d'un profil de navigateur Chrome.

Remarque : La liaison de session protège la plupart des cookies Google, mais il est possible que certains cookies ou sessions restent non liés.

Activer DBSC

Avant de commencer : si nécessaire, découvrez comment appliquer le paramètre à un service ou à un groupe.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Accès et contrôle des données puis Contrôle de session Google.

    Vous devez disposer du droit d'administrateur Paramètres de sécurité.

  2. (Facultatif) Pour n'appliquer le paramètre qu'à certains utilisateurs, sur le côté, sélectionnez une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé).

    Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus

  3. Dans le champ Identifiants de session liés à l'appareil, sélectionnez Activer les identifiants de session liés à l'appareil.
  4. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.

    Pour rétablir la valeur héritée ultérieurement, cliquez sur Hériter (ou Non défini pour un groupe).

Appliquer les identifiants de session liés à l'appareil avec l'accès contextuel

Limité aux applications Web pour ordinateur, non applicable aux applications mobiles ni aux API

Vous pouvez renforcer la sécurité en exigeant que les utilisateurs disposent d'un identifiant de session lié à l'appareil pour accéder à des applications Google Workspace spécifiques. Lorsque vous appliquez les identifiants de session liés à l'appareil, les utilisateurs sont invités à se reconnecter si le système détecte une différence avec une session associée précédemment établie. Cette réauthentification permet au système de tenter une nouvelle association sécurisée. Les utilisateurs sur des plates-formes non compatibles ne peuvent pas accéder à l'application protégée. Cette mesure de sécurité est configurée via l'accès contextuel.

Pour configurer l'application des identifiants de session liés à l'appareil :

  1. Activez les identifiants de session liés à l'appareil pour les utilisateurs que vous souhaitez protéger. Pour connaître la procédure à suivre, consultez Activer les identifiants de session liés à l'appareil.
  2. Suivez les instructions pour créer un niveau d'accès personnalisé dans Autoriser l'accès aux applications uniquement à partir de sessions liées aux identifiants de session de l'appareil.
  3. Attribuez le niveau d'accès aux applications auxquelles vous souhaitez que seules les sessions liées aux identifiants de session de l'appareil aient accès en mode Moniteur pour simuler l'application sans bloquer l'accès des utilisateurs.
  4. Après avoir évalué l'impact, attribuez des niveaux d'accès en mode actif pour n'autoriser l'accès qu'aux sessions liées aux identifiants de session de l'appareil. Pour en savoir plus, consultez Déployer l'accès contextuel.

L'application des identifiants de session liés à l'appareil n'est pas immédiate. Autrement dit, après qu'un utilisateur se connecte, un délai de grâce est accordé avant que les identifiants ne soient appliqués. Cette conception permet de gérer les problèmes d'association temporaire potentiels. Une fois l'association effectuée, le système vérifie régulièrement si les utilisateurs qui accèdent aux applications spécifiées disposent de sessions liées aux identifiants de session de l'appareil. Toute réauthentification réinitialisera ce délai de grâce, et les identifiants de session liés à l'appareil ne seront pas appliqués lors de cette réauthentification.

Enquêter sur les problèmes de protection et de session liés aux identifiants de session basés sur l'appareil

Vous pouvez utiliser l'outil d'investigation de sécurité pour surveiller la protection DBSC et résoudre les problèmes d'interruption de session. Il existe deux sources de journaux pour l'activité DBSC :

  • Événements de journaux des utilisateurs : surveillez l'association des jetons d'accès aux appareils des utilisateurs.
  • Événements de journaux sur l'évaluation des accès : consultez l'état de cookies spécifiques.

Étape 1 : Recherchez l'activité DBSC dans les événements du journal des utilisateurs

Utilisez cette source de données pour vérifier si les identifiants de session liés à l'appareil associent correctement les clés aux appareils des utilisateurs et valident les sessions.

Pour vérifier si DBSC lie des clés :

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Pour Source de données, sélectionnez Événements de journaux des utilisateurs.
  3. Cliquez sur Ajouter une condition.
  4. Pour Attribut, sélectionnez ÉvénementpuisEst comme opérateur puisLiaison de clé DBSC comme événement.
  5. Cliquez sur Rechercher.
  6. Dans le tableau des résultats, consultez la colonne État de l'événement :
    • Réussie : la protection par identifiants de session liés à l'appareil est activée pour l'utilisateur et la session est protégée.
    • Échec : l'association DBSC a échoué et la protection n'est pas activée pour l'utilisateur.
    • Aucun résultat : la protection DBSC n'a pas été tentée pour cette session utilisateur.

Pour vérifier si DBSC valide les sessions :

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Cliquez sur Ajouter une condition.
  3. Pour Attribut, sélectionnez ÉvénementpuisEst comme opérateur puisValidation de la clé DBSC comme événement.
  4. Cliquez sur Rechercher.
  5. Dans le tableau des résultats, consultez la colonne État de l'événement :
    • Réussie : le cookie a bien été validé.
    • Échec : la validation DBSC a échoué. Cliquez sur l'état pour obtenir des informations supplémentaires, comme un code d'erreur.

Un échec ne signifie pas nécessairement que l'utilisateur rencontre des interruptions de session. Les utilisateurs peuvent être interrompus si plusieurs échecs de validation se produisent successivement.

Étape 2 : Recherchez les refus d'accès dans les événements du journal "Évaluation des accès"

Utilisez cette source de données pour savoir si l'accès au cookie d'un utilisateur a été refusé.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Pour Source de données, sélectionnez Événements de journaux sur l'évaluation des accès.
  3. Cliquez sur Ajouter une condition.
  4. Pour Attribut, sélectionnez ÉvénementpuisEst comme opérateur puisRefuser la demande de validation des cookies comme événement.
  5. Cliquez sur Rechercher.
  6. Dans le tableau des résultats, cliquez sur Refusé dans la colonne État de l'événement ou sur le lien dans la colonne Description pour ouvrir un panneau latéral dans lequel vous pouvez consulter les raisons de l'échec suivantes :
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Les événements de journaux sont regroupés par session. Un seul événement est enregistré par utilisateur et par heure, même si plusieurs tentatives d'accès sont bloquées pendant cette période.

Étape 3 : Déterminez si les interruptions de session sont dues à DBSC

Les utilisateurs peuvent être déconnectés pour diverses raisons, comme des limites de durée de session, des règles définies par l'administrateur ou des problèmes de réseau. Bien qu'une déconnexion n'indique pas toujours un problème lié à DBSC, des séquences de journaux spécifiques peuvent aider à identifier une activité potentielle liée à DBSC ou les cas où le système a bloqué une session compromise.

Utilisez ces points pour identifier les activités liées à DBSC :

  • Examiner les séquences de journaux : si vous constatez des échecs de validation de la clé DBSC suivis d'une demande de refus de validation des cookies, il est possible que DBSC soit à l'origine de la déconnexion de l'utilisateur.
  • Comprendre l'impact sur l'utilisateur : pour protéger le compte, un utilisateur doit se reconnecter si le processus d'association rencontre une erreur.
  • Exempter des utilisateurs des identifiants de session liés à l'appareil : si un utilisateur est régulièrement déconnecté, vous pouvez créer un groupe de configuration exempté des identifiants de session liés à l'appareil et y ajouter l'utilisateur pour déterminer si c'est la cause des déconnexions.


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.