En tant qu'administrateur Google Workspace, vous pouvez utiliser des alertes par e-mail pour être averti si des utilisateurs sont déconnectés en raison de cookies de session suspects. Le piratage par vol de cookies, ou détournement de session, consiste à voler l'ID de session d'un utilisateur à l'aide de cookies générés lorsqu'il se connecte à son compte. Chaque fois qu'un cookie de session suspect est détecté, la session est arrêtée, et l'utilisateur est déconnecté de son compte pour cette session et de toutes les sessions suspectes associées sur cet appareil.
Lorsque l'utilisateur tente de se reconnecter sur le même appareil, un message l'invitant à supprimer le logiciel malveillant ou non sécurisé s'affiche. L'utilisateur doit également suivre une étape de validation supplémentaire lorsqu'il se reconnecte au compte sur l'appareil.
À l'aide de l'outil d'investigation de sécurité ou de l'outil d'audit et d'investigation, vous pouvez identifier les tentatives de piratage des comptes utilisateur via des cookies de session dans votre organisation.
Étape 1: Commencez votre examen
Option 1: Examiner les cookies de session suspects dans l'outil d'investigation de sécurité
Éditions compatibles pour la source de données des événements de journaux d'utilisateurs dans l'outil d'investigation:
Enterprise Plus, Education Plus, Cloud Identity Premium, Enterprise Standard, Education Standard
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu
Sécurité
Centre de sécurité
- Dans le menu Source de données, sélectionnez Événements de journaux des utilisateurs.
- Dans le menu Ajouter une condition, sélectionnez Événement et assurez-vous que la condition est définie sur Est (option par défaut).
- Dans le menu Événement, sélectionnez Déconnexion de l'utilisateur en raison d'un cookie de session suspect.
- Cliquez sur Rechercher.
Les résultats de la recherche sont affichés en bas de la page.
Option 2: Examiner les cookies de session suspects sur la page d'audit et d'enquête
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu
Création de rapports
- Cliquez sur Ajouter un filtre, puis sélectionnez Événement.
- Dans la fenêtre pop-up, assurez-vous que l'opérateur dans le menu supérieur est défini sur Est (option par défaut), puis sélectionnez Déconnexion de l'utilisateur en raison d'un cookie de session suspect dans le menu inférieur, puis cliquez sur Appliquer.
- Cliquez sur Rechercher.
Les journaux sont affichés au bas de la page.
Étape 2 : Prenez les mesures adéquates
Dans la colonne Description, cliquez sur Cookie de session suspecte pour ouvrir le volet "Détails du journal". Si la mention Vrai apparaît à la ligne Est suspect, aidez les utilisateurs concernés à suivre la procédure permettant de supprimer les logiciels malveillants ou non sécurisés.
Sécuriser les comptes piratés
Si vous pensez qu'un compte a été piraté, vous pouvez, en tant qu'administrateur, vous assurer que les comptes de vos utilisateurs sont sécurisés. Aidez les utilisateurs concernés à identifier et sécuriser les comptes piratés.
