Empêcher le vol de cookies avec la liaison de session (bêta)

En tant qu'administrateur, vous pouvez renforcer la sécurité des sessions en ligne de vos utilisateurs en implémentant des identifiants de session liés à l'appareil. Ces identifiants sont conçus pour empêcher le détournement de session, également appelé vol de cookies.

Ce type de cyberattaque se produit lorsqu'un tiers non autorisé prend le contrôle de la session Web active d'un utilisateur en dérobant le cookie de session (un petit fichier de données contenant l'identifiant de session unique) émis par le site Web lors de la connexion. En présentant ce cookie volé, le pirate informatique peut usurper l'identité de l'utilisateur légitime et poursuivre sa session authentifiée.

Les identifiants de session liés à l'appareil fonctionnent en associant la session d'un utilisateur à son appareil spécifique, ce qui rend difficile l'utilisation de cookies volés sur d'autres appareils par des pirates informatiques. En utilisant ces identifiants, vous pouvez réduire le risque d'accès non autorisé aux comptes utilisateur et protéger les données utilisateur sensibles.

Conditions requises pour utiliser DBSC

  • Actuellement, les identifiants de session liés à l'appareil ne sont disponibles que dans le navigateur Chrome pour les appareils Windows.
  • L'appareil de l'utilisateur doit être équipé d'un TPM (Trusted Platform Module), un composant matériel standard déjà disponible pour la plupart des appareils exécutant Windows 11, pour stocker et traiter les données cryptographiques de manière sécurisée. Les utilisateurs peuvent généralement trouver des informations sur la disponibilité du TPM dans les paramètres système de leur appareil ou en consultant la documentation du fabricant de l'appareil.
  • L'utilisateur doit disposer de Chrome 136 ou d'une version ultérieure. Pour en savoir plus, consultez Mettre à jour Google Chrome.

Remarque : Pendant la phase bêta, la liaison de session ne sécurise qu'une sélection limitée de cookies Google. Par conséquent, tous les cookies d'un utilisateur ne sont pas sécurisés.

Activer les identifiants de session basés sur l'appareil

Avant de commencer : si nécessaire, découvrez comment appliquer le paramètre à un service ou à un groupe.

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisContrôle des accès et des donnéespuisContrôle de session Google.

    Vous devez disposer du droit d'administrateur Paramètres de sécurité.

  2. (Facultatif) Pour n'appliquer le paramètre qu'à certains utilisateurs, sélectionnez sur le côté une unité organisationnelle (souvent utilisée pour des services) ou un groupe de configuration (avancé).

    Les paramètres de groupe remplacent ceux des unités organisationnelles. En savoir plus

  3. Pour Identifiants de session liés à l'appareil, sélectionnez Activer les identifiants de session liés à l'appareil.
  4. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.

    Pour rétablir la valeur héritée ultérieurement, cliquez sur Hériter (ou Non défini pour un groupe).

Conséquences potentielles de l'activation des identifiants de session liés à l'appareil

Une fois que vous avez activé les identifiants de session liés à l'appareil, les utilisateurs peuvent rencontrer les problèmes suivants :

  • Interruptions de session : si la session d'un utilisateur est valide, mais que le processus d'association rencontre une erreur, le système demande à l'utilisateur de se reconnecter. Cela permet de protéger le compte et les données de l'utilisateur.
  • Problèmes persistants : si un utilisateur rencontre régulièrement des problèmes avec les identifiants de session liés à l'appareil, il peut être déconnecté fréquemment. Dans ce cas, les utilisateurs doivent contacter leur administrateur pour obtenir de l'aide, par exemple pour désactiver les identifiants de session liés à l'appareil pour leur compte. L'administrateur peut créer un groupe exempté d'identifiants de session liés à l'appareil et y ajouter l'utilisateur.

Appliquer les identifiants de session liés à l'appareil avec l'accès contextuel

Limité aux applications Web pour ordinateur, non applicable aux applications mobiles ni aux API

Vous pouvez renforcer la sécurité en exigeant que les utilisateurs disposent d'un identifiant de session lié à l'appareil pour accéder à des applications Google Workspace spécifiques. Les utilisateurs qui tentent d'accéder à des applications protégées sans session liée aux identifiants de session de l'appareil ne seront pas autorisés à le faire. Cette mesure de sécurité est configurée via l'accès contextuel.

Pour configurer l'application des identifiants de session liés à l'appareil :

  1. Activez les identifiants de session basés sur l'appareil pour les utilisateurs que vous souhaitez protéger. Pour connaître la procédure à suivre, consultez Activer les identifiants de session liés à l'appareil.
  2. Suivez les instructions pour créer un niveau d'accès personnalisé dans Autoriser l'accès aux applications uniquement à partir de sessions liées aux identifiants de session de l'appareil.
  3. Attribuez le niveau d'accès aux applications auxquelles vous souhaitez que seules les sessions liées aux identifiants de session de l'appareil aient accès en mode Moniteur pour simuler l'application sans bloquer l'accès des utilisateurs.
  4. Après avoir évalué l'impact, attribuez des niveaux d'accès en mode actif pour n'autoriser l'accès qu'aux sessions liées aux identifiants de session de l'appareil. Pour en savoir plus, consultez Déployer l'accès contextuel.

L'application des identifiants de session liés à l'appareil n'est pas immédiate. Autrement dit, après qu'un utilisateur se connecte, un délai de grâce est accordé avant que les identifiants ne soient appliqués. Cette conception permet de gérer les problèmes d'association temporaire potentiels. Une fois l'association effectuée, le système vérifie régulièrement si les utilisateurs qui accèdent aux applications spécifiées disposent de sessions liées aux identifiants de session de l'appareil. Toute réauthentification réinitialisera ce délai de grâce, et les identifiants de session liés à l'appareil ne seront pas appliqués lors de cette réauthentification.

Vérifier les événements de journaux DBSC

Une fois que vous avez activé les identifiants de session liés à l'appareil, vous pouvez consulter les événements de journaux des utilisateurs pour vérifier si un événement DBSC s'est produit. Par exemple, vous pouvez vérifier si la liaison de clé DBSC a réussi ou échoué.

Remarque : Les événements de journaux DBSC ne sont visibles que pour le compte principal lorsque plusieurs comptes utilisateur sont connectés au même profil de navigateur Chrome.

Pour vérifier si un événement s'est produit :

  1. Ouvrez Événements de journaux des utilisateurs.
    Pour en savoir plus, consultez Événements de journaux utilisateur.
  2. Cliquez sur Ajouter un filtrepuisÉvénement.
  3. Sélectionnez un événement DBSC, puis cliquez sur Appliquer.

Pour en savoir plus sur les événements, consultez le tableau suivant :

Nom de l'événement Description
Liaison de clé avec les identifiants de session liés à l'appareil Tentative d'associer la session d'un utilisateur à son appareil. L'état de l'événement indique Réussite ou Échec. Si l'association réussit, une nouvelle paire de clés TPM est générée et la clé est associée à l'appareil.
Validation de la clé associée aux identifiants de session liés à l'appareil

Une tentative de validation de la clé associée aux identifiants de session liés à l'appareil a échoué, ce qui a entraîné l'un des codes d'erreur suivants :

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.