Un défaut sur Google Chrome permettrait à un hacker de prendre le contrôle d'un ordinateur

15
Google Chrome

Google l'a confirmé : son navigateur web, Chrome, doit être mis à jour en urgence, suite à la révélation d'une faille critique de sécurité.

Si celle-ci était exploitée par un hacker, il pourrait l'utiliser pour prendre le contrôle de l'ordinateur supportant le navigateur.

Prise de contrôle

Le 27 août, le Centre de Sécurité Internet (CIS) rendait compte dans une note de sécurité de la présence d'une vulnérabilité qui pourrait, selon ses termes, « résulter en une exécution de code arbitraire », soit la possibilité de faire opérer une action à l'ordinateur ciblé, sans le consentement de son propriétaire bien sûr. La note est claire : « une exploitation de cette vulnérabilité pourrait permettre à un hacker d'exécuter un code arbitraire, d'obtenir des informations sensibles, d'outrepasser les restrictions de sécurité et de réaliser des actions non autorisées ».

Les anglo-saxons parlent d'une faille de type « use-after-free » (UAF), qui exploite un bug atteignant la mémoire de l'ordinateur.

À noter cependant que seuls les ordinateurs (tournant sous Windows, macOS et Linux) sont concernés : les appareils fonctionnant sous iOS ou Android ne sont pas affectés. Cela représente tout de même un risque énorme pour les deux milliards d'utilisateurs de Chrome. Le CIS classe également comme « haut » le degré de risque que représente la faille pour les entreprises moyennes et grandes, ainsi que pour les organismes gouvernementaux.



Un correctif de sécurité dans les jours à venir

Google ne nie pas le danger, au contraire. Forbes rapporte que le géant américain travaille en urgence à une mise à jour de sécurité pour son navigateur. Celle-ci a été annoncée comme devant être disponible d'ici quelques jours, et elle pourrait donc déjà l'être à la publication de cet article. Les utilisateurs de Chrome sont bien entendu invités à surveiller les mises à jour de leur navigateur.

D'autre part, Google a récompensé les personnes qui ont participé à révéler la faille. Luyao Liu et Zhe Jin, du Centre de réponse en sécurité de Qihoo 360, à Chengdu, ont reçu une récompense de 5 500 dollars. Une journée avant la publication de la note du CIS, Srinivas Sista, de l'équipe de Google Chrome, avait évoqué la présence d'une faille. Elle a remercié « tous les chercheurs en sécurité qui ont travaillé avec [ son équipe ] pendant le développement pour prévenir les bugs de sécurité ».

Pour la sécurité informatique de Google, c'est le nouvel épisode d'une série noire. Le 27 août, les utilisateurs d'Android ont en effet été avertis que l'application CamScanner, téléchargée 100 millions de fois, pouvait contenir un malware. Toujours sur Android, Symantec a aussi observé qu'1,5 million d'utilisateurs avaient été forcés de cliquer sur de la publicité...

Source : Forbes
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (15)

bmustang
je suis pas concerné et ne le serais JAMAIS ! Google
megadub
c’est facheux ce qui serait pas mal c’est de savoir si c’est le cas aussi quand on n’a pas de compte Google.
megadub
Quel intérêt de laisser un commentaire du coup ?
max_971
Je me posais la question, est-ce qu’il n’y aurait pas des agents secrets de la NSA qui seraient programmeurs chez Google et autres ?<br /> Si tous les grandes entreprises informatique comblaient toutes les failles, impossible à la NSA de nous surveiller. Pas spécialement nous mais les américains d’abord.
megadub
Je te conseille de t’intéresser à l’affaire Snowden, notamment le film… la NSA va beaucoup plus loin que d’avoir des devs chez Google.
ctalpaert42
Le 27 août, c’était il y a plus d’une semaine… Du coup est-ce que la mise à jour a été publiée depuis ?<br /> Quelle est la version de Chrome concernée ?<br /> (actuellement j’ai la version 76.0.3809.132)
Sinic
Forbes rapporte que le géant américain travaille en urgence à une mise à jour de sécurité pour son navigateur. Celle-ci a été annoncée comme devant être disponible d’ici quelques jours, et elle pourrait donc déjà l’être à la publication de cet article. Les utilisateurs de Chrome sont bien entendu invités à surveiller les mises à jour de leur navigateur .<br />
emiCHavO
La faille est dans le FileReader de Chrome donc je vois pas le rapport avec les comptes Google
emiCHavO
Le patch fait justement partie de la version 76.0.3809.132: https://chromereleases.googleblog.com/2019/08/stable-channel-update-for-desktop_26.html
Matrix-7000
Est-ce réellement une faille de sécurité! Quand on connaît l’historique de Google on est tout de même en droit de se poser la question!<br /> Cela va encore relancer le débat entre les différents navigateurs, le plus rapide, le plus ceci, le plus cela…<br /> Si je ne dis pas de bêtise, il n’y a pas si longtemps encore, Chrome ne vérifiait pas, par défaut, les listes de révocation de certificats électronique.
stratos
ca va c’est pas aussi comme si google avait un systeme Push Pages qui permet creer un identifiant unique pour chaque utilisateur et de l’utiliser pour pister au profit des publicitaires, en gros contourne le rgpd. a mince
m_enfin
Non dans ce cas c’est juste du troll. On s’en fout qu’il n’utilise pas Google Chrome et on s’en fout de son militantisme.
quiquelaga
Dingue ! des données perso, perdre… on aurait pu… avec Gogol !!!
megadub
tu sais, un commentaire gagne beaucoup en clareté avec des phrases
Voir tous les messages sur le forum