Publié le 17 mars 2025
L'année dernière, nous avons annoncé une sécurité renforcée pour les cookies et les identifiants grâce au chiffrement lié à l'application pour Chrome.
Bien que nous ayons constaté que cette nouvelle protection ait entraîné une réduction substantielle de ce type de piratage de compte, les pirates informatiques restent très motivés pour s'adapter à ces nouvelles défenses. Nous continuons donc de surveiller les techniques et les comportements utilisés par les pirates informatiques.
Depuis l'activation du chiffrement lié à l'application, nous avons constaté une augmentation du nombre d'attaquants utilisant le débogage à distance Chrome pour extraire des cookies. L'utilisation de cette méthode pour voler des cookies Chrome est discutée depuis 2018. Toutefois, des articles de blog récents sur cette utilisation du port de débogage à distance et des outils d'extraction de cookies confirment nos données internes, qui montrent que cette méthode est de plus en plus populaire. Nous restons déterminés à perturber ces techniques et à contraindre davantage les pirates informatiques, ce qui augmente le coût de ces attaques et protège la sécurité des utilisateurs de Chrome.
Par conséquent, à partir de Chrome 136, nous modifions le comportement de --remote-debugging-port et --remote-debugging-pipe. Ces options ne seront plus respectées si vous essayez de déboguer le répertoire de données Chrome par défaut. Ces commutateurs doivent désormais être accompagnés du commutateur --user-data-dir pour pointer vers un répertoire non standard. Un répertoire de données non standard utilise une clé de chiffrement différente, ce qui signifie que les données de Chrome sont désormais protégées contre les pirates informatiques.
Pour les développeurs qui doivent déboguer Chrome (par exemple, à partir de VSCode), les instructions spécifient déjà l'utilisation d'un répertoire de données utilisateur personnalisé. Nous continuons à recommander cette approche pour isoler le débogage de tout profil réel.
Pour les scénarios d'automatisation du navigateur, nous vous recommandons d'utiliser Chrome pour les tests, qui continuera de respecter le comportement existant.
Veuillez signaler tout problème lié à cette nouvelle fonctionnalité de sécurité sur crbug.com.