Empêcher le vol de cookies avec la liaison de session

Google Workspace renforce automatiquement la sécurité des sessions en ligne de vos utilisateurs à l'aide d'identifiants de session liés à l'appareil. Ces identifiants sont conçus pour empêcher le détournement de session, également appelé vol de cookies.

Ce type de cyberattaque se produit lorsqu'un tiers non autorisé prend le contrôle de la session Web active d'un utilisateur en dérobant le cookie de session, souvent via un logiciel malveillant sur l'appareil de l'utilisateur. Un cookie de session est un petit fichier de données contenant l'identifiant de session unique émis par le site Web lors de la connexion. En présentant ce cookie volé, le pirate informatique peut usurper l'identité de l'utilisateur légitime et poursuivre sa session authentifiée.

Les identifiants de session liés à l'appareil fonctionnent en liant la session d'un utilisateur à son appareil spécifique, ce qui rend difficile l'utilisation de cookies volés sur d'autres appareils par les pirates informatiques. Cela crée une limite de sécurité matérielle qui réduit le risque d'accès non autorisé aux comptes utilisateur et protège les données sensibles. Les identifiants de session liés à l'appareil sont activés par défaut pour tous les comptes Workspace. Aucune action de l'administrateur n'est nécessaire pour activer cette protection.

Conditions requises pour utiliser les identifiants de session liés à l'appareil

  • Navigateur Chrome : version 146 ou ultérieure pour Windows et version 148 ou ultérieure pour macOS. Pour en savoir plus, consultez Mettre à jour Google Chrome.
  • Sécurité matérielle : nécessite des fonctionnalités de sécurité matérielle pour stocker de manière sécurisée les clés cryptographiques utilisées pour lier la session à l'appareil. Pour Windows, il s'agit d'un module TPM (Trusted Platform Module), qui est standard sur la plupart des appareils exécutant Windows 11. Pour macOS, il s'agit d'une enclave sécurisée (disponible sur la plupart des ordinateurs portables Mac récents). Consultez la documentation du fabricant de votre appareil pour vérifier les fonctionnalités matérielles.

Application de la protection des identifiants de session liés à l'appareil

La protection des identifiants de session liés à l'appareil est appliquée automatiquement lorsque l'appareil et le navigateur d'un utilisateur répondent aux exigences techniques nécessaires. Dans certains cas, les sessions peuvent rester non liées. Les principales raisons liées à cette erreur sont les suivantes :

  • Environnement non compatible : problèmes liés au système d'exploitation, à la version du navigateur ou à la sécurité matérielle de l'utilisateur (par exemple, un module TPM sur Windows).
  • Sessions existantes : la protection des identifiants de session liés à l'appareil ne s'applique qu'aux nouvelles sessions. Les utilisateurs qui étaient déjà connectés lorsque les identifiants de session liés à l'appareil ont été activés doivent se déconnecter, puis se reconnecter pour lier leur session.
  • Modifications du navigateur : certaines extensions de navigateur ou modifications manuelles des cookies peuvent empêcher le bon fonctionnement des identifiants de session liés à l'appareil.

Appliquer les identifiants de session liés à l'appareil avec l'accès contextuel

Limité aux applications Web pour ordinateur, non applicable aux applications mobiles ni aux API

Vous pouvez renforcer la sécurité en exigeant que les utilisateurs disposent d'un identifiant de session lié à l'appareil pour accéder à des applications Google Workspace spécifiques. Lorsque vous appliquez les identifiants de session liés à l'appareil, les utilisateurs sont invités à se reconnecter si le système détecte une différence avec une session liée précédemment établie. Cette réauthentification permet au système de tenter une nouvelle liaison sécurisée. Les utilisateurs sur des plates-formes non compatibles ne peuvent pas accéder à l'application protégée. Cette mesure de sécurité est configurée via l'accès contextuel.

Pour configurer l'application des identifiants de session liés à l'appareil :

  1. Suivez les instructions pour créer un niveau d'accès personnalisé dans Autoriser l'accès aux applications uniquement à partir de sessions liées aux identifiants de session de l'appareil.
  2. Attribuez le niveau d'accès aux applications auxquelles vous souhaitez que seuls les sessions liées aux identifiants de session de l'appareil aient accès en mode Moniteur pour simuler l'application sans bloquer l'accès des utilisateurs.
  3. Après avoir évalué l'impact, attribuez des niveaux d'accès en mode actif pour n'autoriser l'accès qu'aux sessions liées aux identifiants de session de l'appareil. Pour en savoir plus, consultez Déployer l'accès contextuel.

L'application des identifiants de session liés à l'appareil n'est pas immédiate. Autrement dit, après qu'un utilisateur se connecte, un délai de grâce est accordé avant que les identifiants ne soient appliqués. Cette conception tient compte des problèmes de liaison temporaires potentiels. Une fois la liaison établie, le système vérifie régulièrement si les utilisateurs qui accèdent aux applications spécifiées ont des sessions liées aux identifiants de session de l'appareil. Toute réauthentification réinitialisera ce délai de grâce, et les identifiants de session liés à l'appareil ne seront pas appliqués lors de cette réauthentification.

Examiner la protection des identifiants de session liés à l'appareil et les problèmes de session

Vous pouvez utiliser l'outil d'investigation sur la sécurité pour surveiller la protection ISLA et résoudre les problèmes d'interruption de session. Il existe deux sources de journaux pour l'activité des identifiants de session liés à l'appareil :

  • Événements de journaux des utilisateurs : surveillez la liaison des jetons d’accès aux appareils des utilisateurs.
  • Événements de journaux sur l'évaluation des accès : examinez l'état de cookies spécifiques.

Remarque : Les événements de journaux des identifiants de session liés à l'appareil ne sont visibles que pour le compte principal lorsque plusieurs comptes utilisateur sont connectés au même profil de navigateur Chrome.

Étape 1 : Recherchez l'activité des identifiants de session liés à l'appareil dans les événements de journaux des utilisateurs

Utilisez cette source de données pour vérifier si les identifiants de session liés à l'appareil lient correctement les clés aux appareils des utilisateurs et valident les sessions.

Pour vérifier si les identifiants de session liés à l'appareil lient les clés :

  1. Dans la console d'administration Google, accédez à Menu puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Pour Source de données, sélectionnez Événements de journaux des utilisateurs .
  3. Cliquez sur Ajouter une condition.
  4. Pour Attribut, sélectionnez ÉvénementpuisEst comme opérateurpuisLiaison de clé des identifiants de session liés à l'appareil comme événement.
  5. Cliquez sur Rechercher.
  6. Dans le tableau des résultats, examinez la colonne État de l'événement :
    • Réussite : la protection des identifiants de session liés à l'appareil est activée pour l' utilisateur, et la session est protégée.
    • Échec : la liaison des identifiants de session liés à l'appareil a échoué, et la protection n'est pas activée pour l'utilisateur.
    • Aucun résultat : la protection des identifiants de session liés à l'appareil n'a pas été tentée pour cette session utilisateur.

Pour vérifier si les identifiants de session liés à l'appareil valident les sessions :

  1. Dans la console d'administration Google, accédez à Menu puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Cliquez sur Ajouter une condition.
  3. Pour Attribut, sélectionnez ÉvénementpuisEst comme opérateurpuisValidation de la clé des identifiants de session liés à l'appareil comme événement.
  4. Cliquez sur Rechercher.
  5. Dans le tableau des résultats, examinez la colonne État de l'événement :
    • Réussite : le cookie a été validé.
    • Échec : la validation des identifiants de session liés à l'appareil a échoué. Cliquez sur l'état pour obtenir des informations supplémentaires, telles qu'un code d'erreur.

Un échec ne signifie pas nécessairement que l'utilisateur rencontre des interruptions de session interruptions. Les utilisateurs peuvent être interrompus si plusieurs échecs de validation se produisent successivement.

Étape 2 : Vérifiez les refus d'accès dans les événements de journaux sur l'évaluation des accès

Utilisez cette source de données pour vérifier si l'accès au cookie d'un utilisateur a été refusé

  1. Dans la console d'administration Google, accédez à Menu puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Pour Source de données, sélectionnez Événements de journaux sur l'évaluation des accès.
  3. Cliquez sur Ajouter une condition.
  4. Pour Attribut, sélectionnez ÉvénementpuisEst comme opérateurpuisRefuser la demande de validation du cookie comme événement.
  5. Cliquez sur Rechercher.
  6. Dans le tableau des résultats, cliquez sur Refusé dans la colonne État de l'événement ou sur le lien dans la colonne Description pour ouvrir un panneau latéral dans lequel vous pouvez examiner les raisons de l'échec suivantes :
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Les événements de journaux sont regroupés par session. Pour gérer le volume des journaux, un seul événement est enregistré par heure pour chaque session et type d'échec uniques. Toute autre tentative avec les mêmes détails n'est pas enregistrée pendant cette heure.

Étape 3 : Déterminez si les interruptions de session sont dues aux identifiants de session liés à l'appareil

Les utilisateurs peuvent être déconnectés pour diverses raisons, telles que des limites de durée de session , des stratégies définies par l'administrateur ou des problèmes de réseau. Bien qu'une déconnexion n'indique pas toujours un problème lié aux identifiants de session liés à l'appareil, des séquences de journaux spécifiques peuvent aider à identifier une activité potentielle liée aux identifiants de session liés à l'appareil ou des cas où le système a bloqué une session compromise.

Utilisez ces points pour identifier l'activité liée aux identifiants de session liés à l'appareil :

  • Examiner les séquences de journaux : si vous constatez des échecs de validation de la clé des identifiants de session liés à l'appareil suivis d'une demande de refus de validation du cookie, les identifiants de session liés à l'appareil peuvent être la cause de la déconnexion de l'utilisateur.
  • Comprendre l'impact sur l'utilisateur : pour sécuriser le compte, un utilisateur doit se reconnecter si le processus de liaison rencontre une erreur.


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.