Un défaut sur Google Chrome permettrait à un hacker de prendre le contrôle d'un ordinateur

05 septembre 2019 à 14h17
15
Google Chrome

Google l'a confirmé : son navigateur web, Chrome, doit être mis à jour en urgence, suite à la révélation d'une faille critique de sécurité.

Si celle-ci était exploitée par un hacker, il pourrait l'utiliser pour prendre le contrôle de l'ordinateur supportant le navigateur.

Prise de contrôle

Le 27 août, le Centre de Sécurité Internet (CIS) rendait compte dans une note de sécurité de la présence d'une vulnérabilité qui pourrait, selon ses termes, « résulter en une exécution de code arbitraire », soit la possibilité de faire opérer une action à l'ordinateur ciblé, sans le consentement de son propriétaire bien sûr. La note est claire : « une exploitation de cette vulnérabilité pourrait permettre à un hacker d'exécuter un code arbitraire, d'obtenir des informations sensibles, d'outrepasser les restrictions de sécurité et de réaliser des actions non autorisées ».

Les anglo-saxons parlent d'une faille de type « use-after-free » (UAF), qui exploite un bug atteignant la mémoire de l'ordinateur.

À noter cependant que seuls les ordinateurs (tournant sous Windows, macOS et Linux) sont concernés : les appareils fonctionnant sous iOS ou Android ne sont pas affectés. Cela représente tout de même un risque énorme pour les deux milliards d'utilisateurs de Chrome. Le CIS classe également comme « haut » le degré de risque que représente la faille pour les entreprises moyennes et grandes, ainsi que pour les organismes gouvernementaux.



Un correctif de sécurité dans les jours à venir

Google ne nie pas le danger, au contraire. Forbes rapporte que le géant américain travaille en urgence à une mise à jour de sécurité pour son navigateur. Celle-ci a été annoncée comme devant être disponible d'ici quelques jours, et elle pourrait donc déjà l'être à la publication de cet article. Les utilisateurs de Chrome sont bien entendu invités à surveiller les mises à jour de leur navigateur.

D'autre part, Google a récompensé les personnes qui ont participé à révéler la faille. Luyao Liu et Zhe Jin, du Centre de réponse en sécurité de Qihoo 360, à Chengdu, ont reçu une récompense de 5 500 dollars. Une journée avant la publication de la note du CIS, Srinivas Sista, de l'équipe de Google Chrome, avait évoqué la présence d'une faille. Elle a remercié « tous les chercheurs en sécurité qui ont travaillé avec [ son équipe ] pendant le développement pour prévenir les bugs de sécurité ».

Pour la sécurité informatique de Google, c'est le nouvel épisode d'une série noire. Le 27 août, les utilisateurs d'Android ont en effet été avertis que l'application CamScanner, téléchargée 100 millions de fois, pouvait contenir un malware. Toujours sur Android, Symantec a aussi observé qu'1,5 million d'utilisateurs avaient été forcés de cliquer sur de la publicité...

Source : Forbes
Modifié le 05/09/2019 à 16h25
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
15
12
bmustang
je suis pas concerné et ne le serais JAMAIS ! Google
megadub
c’est facheux ce qui serait pas mal c’est de savoir si c’est le cas aussi quand on n’a pas de compte Google.
megadub
Quel intérêt de laisser un commentaire du coup ?
Feladan
La “liberté d’expression” nezbah.
PierreKaiL
C’est au conditionnel ? non pcq sinon c’est serai
max_971
Je me posais la question, est-ce qu’il n’y aurait pas des agents secrets de la NSA qui seraient programmeurs chez Google et autres ?<br /> Si tous les grandes entreprises informatique comblaient toutes les failles, impossible à la NSA de nous surveiller. Pas spécialement nous mais les américains d’abord.
megadub
Je te conseille de t’intéresser à l’affaire Snowden, notamment le film… la NSA va beaucoup plus loin que d’avoir des devs chez Google.
ctalpaert42
Le 27 août, c’était il y a plus d’une semaine… Du coup est-ce que la mise à jour a été publiée depuis ?<br /> Quelle est la version de Chrome concernée ?<br /> (actuellement j’ai la version 76.0.3809.132)
Sinic
Forbes rapporte que le géant américain travaille en urgence à une mise à jour de sécurité pour son navigateur. Celle-ci a été annoncée comme devant être disponible d’ici quelques jours, et elle pourrait donc déjà l’être à la publication de cet article. Les utilisateurs de Chrome sont bien entendu invités à surveiller les mises à jour de leur navigateur .<br />
emiCHavO
La faille est dans le FileReader de Chrome donc je vois pas le rapport avec les comptes Google
emiCHavO
Le patch fait justement partie de la version 76.0.3809.132: https://chromereleases.googleblog.com/2019/08/stable-channel-update-for-desktop_26.html
Matrix-7000
Est-ce réellement une faille de sécurité! Quand on connaît l’historique de Google on est tout de même en droit de se poser la question!<br /> Cela va encore relancer le débat entre les différents navigateurs, le plus rapide, le plus ceci, le plus cela…<br /> Si je ne dis pas de bêtise, il n’y a pas si longtemps encore, Chrome ne vérifiait pas, par défaut, les listes de révocation de certificats électronique.
stratos
ca va c’est pas aussi comme si google avait un systeme Push Pages qui permet creer un identifiant unique pour chaque utilisateur et de l’utiliser pour pister au profit des publicitaires, en gros contourne le rgpd. a mince
m_enfin
Non dans ce cas c’est juste du troll. On s’en fout qu’il n’utilise pas Google Chrome et on s’en fout de son militantisme.
quiquelaga
Dingue ! des données perso, perdre… on aurait pu… avec Gogol !!!
megadub
tu sais, un commentaire gagne beaucoup en clareté avec des phrases
Voir tous les messages sur le forum

Actualités du moment

Samsung officialise la sortie du Galaxy Fold pour le 18 septembre en France
IFA 2019 : on a pris en main la version finale du Galaxy Fold ! Nos impressions en vidéo
IFA 2019 : Sonos lève le voile sur sa première enceinte portable, la Sonos Move
Résumé du Nintendo Direct de septembre 2019
Vivaldi 2.7 : le navigateur améliore la navigation et s'attaque aux sons indésirés
Panne mondiale chez Yahoo: la France est aussi touchée
Les spécifications de l'USB 4 sont désormais publiques
IFA 2019 : Logitech dévoile le clavier MX Keys et la souris MX Master 3
🔥 Aspirateur robot Neato Robotics D701 à 499€ au lieu de 899,99€
Haut de page