ChromeOS : des extensions un peu trop curieuses

30 juin 2011 à 14h56
0
0091000004263194-photo-chromebook.jpg
Un chercheur en sécurité annonce avoir repéré une faille au sein du système ChromeOS. Celle-ci sera présentée lors du sommet de la BlackHat qui se tiendra à Las Vegas au mois d'août.

En présentant son système Chrome OS et ses Chromebook, Google mettait en avant la sécurité de son système. En plus d'un dispositif de mises à jour automatiques et d'un chiffrement des données sur le serveur, le système alloue un processus dédié à chaque onglet, dispose d'une amorce système sécurisée, d'un mode de restauration usine ainsi que d'un compte utilisateur Invité.

Malgré ces efforts, l'expert en sécurité Matt Johansen, de la société WhiteHat Security, annonce avoir repéré une faille. Plus précisément, celle-ci se dissimulerait au sein du gestionnaire des extensions. Sans plus de précisions, il explique qu'une extension permettant de prendre des notes pouvait être utilisée pour pénétrer au sein de Gmail. Après avoir alerté Google, la vulnérabilité a été corrigée.

Reste qu'il ne s'agirait que de « la partie visible de l'iceberg (...) nous pensons que cela deviendra une nouvelle cible pour les malwares », explique le chercheur à Reuters. Il ajoute que si les données sensibles ne sont plus hébergées sur le disque dur local mais sur des serveurs distants, celles-ci ne sont pas mieux protégées. « Je peux me connecter sur votre service de compte bancaire, votre profil Facebook ou vos emails lorsque vous chargez (le site) depuis votre navigateur », affirme-t-il.

Matt Johansen explique que le coeur du problème vient du gestionnaire des extensions au sein du navigateur ; certaines d'entre elles ayant des droits trop élevés pour manipuler les données hébergées à distance. « Chrome accorde une confiance plus élevée à ces extensions qu'à n'importe quel autre site Internet », déclare l'expert.

Face à ces découvertes Google explique avoir voulu faciliter la publication des extensions pour le développeur mais planche tout de même sur un dispositif capable de repérer celles disposant de droits trop élevés afin de prévenir l'internaute d'un danger potentiel. Alex Stamos, expert au cabinet iSec Partners et ayant aidé Google dans la mise en oeuvre du système de sécurité de Chrome OS, souhaite tout de même modérer les propos de M. Johansen en affirmant : « même si les choses ne sont pas parfaites, nous avons un environnement plus contrôlé et davantage sécurisé que sur Windows or Mac ».
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Actualités récentes

6 mois, 2,5 Tb/s de données : Google dévoile une attaque DDoS extrême 3 ans après
GM va faire rouler des voitures autonomes sans conducteur à San Francisco
BMW déploie une grosse mise à jour et offre Android Auto à plus de 750 000 propriétaires
Raspberry Pi : une carte d'extension offre la 5G au mini-ordinateur
Le disque dur externe Western Digital 2 To à moins de 70€ 🔥
Microsoft aide une ONG à nettoyer les océans grâce au machine learning
Bon plan antivirus : Norton 360 Deluxe passe sous la barre de 35€
En Chine, Auchan cède sa filiale SunArt à Alibaba pour 3 milliards d'euros
Test Amazfit ZenBuds : des écouteurs pour dormir sur ses deux oreilles
L'opérateur RED by SFR casse les prix sur ses forfaits mobiles 4G
scroll top