ChromeOS : des extensions un peu trop curieuses

01 juin 2018 à 15h36
0
0091000004263194-photo-chromebook.jpg
Un chercheur en sécurité annonce avoir repéré une faille au sein du système ChromeOS. Celle-ci sera présentée lors du sommet de la BlackHat qui se tiendra à Las Vegas au mois d'août.

En présentant son système Chrome OS et ses Chromebook, Google mettait en avant la sécurité de son système. En plus d'un dispositif de mises à jour automatiques et d'un chiffrement des données sur le serveur, le système alloue un processus dédié à chaque onglet, dispose d'une amorce système sécurisée, d'un mode de restauration usine ainsi que d'un compte utilisateur Invité.

Malgré ces efforts, l'expert en sécurité Matt Johansen, de la société WhiteHat Security, annonce avoir repéré une faille. Plus précisément, celle-ci se dissimulerait au sein du gestionnaire des extensions. Sans plus de précisions, il explique qu'une extension permettant de prendre des notes pouvait être utilisée pour pénétrer au sein de Gmail. Après avoir alerté Google, la vulnérabilité a été corrigée.

Reste qu'il ne s'agirait que de « la partie visible de l'iceberg (...) nous pensons que cela deviendra une nouvelle cible pour les malwares », explique le chercheur à Reuters. Il ajoute que si les données sensibles ne sont plus hébergées sur le disque dur local mais sur des serveurs distants, celles-ci ne sont pas mieux protégées. « Je peux me connecter sur votre service de compte bancaire, votre profil Facebook ou vos emails lorsque vous chargez (le site) depuis votre navigateur », affirme-t-il.

Matt Johansen explique que le coeur du problème vient du gestionnaire des extensions au sein du navigateur ; certaines d'entre elles ayant des droits trop élevés pour manipuler les données hébergées à distance. « Chrome accorde une confiance plus élevée à ces extensions qu'à n'importe quel autre site Internet », déclare l'expert.

Face à ces découvertes Google explique avoir voulu faciliter la publication des extensions pour le développeur mais planche tout de même sur un dispositif capable de repérer celles disposant de droits trop élevés afin de prévenir l'internaute d'un danger potentiel. Alex Stamos, expert au cabinet iSec Partners et ayant aidé Google dans la mise en oeuvre du système de sécurité de Chrome OS, souhaite tout de même modérer les propos de M. Johansen en affirmant : « même si les choses ne sont pas parfaites, nous avons un environnement plus contrôlé et davantage sécurisé que sur Windows or Mac ».
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Nokia revend sa plateforme de messagerie à Synchronica
Le malware TDL-4 inquiète les spécialistes de Kaspersky
SFR neufbox : vers un décodeur Netgem remanié et du multi-écrans
IBM promet l'arrivée de mémoire à changement de phase MLC
Skype autorise les appels vidéo sur Android
Le Chromebook de Samsung est à la rédaction !
A peine sorti, Google+ serait fortement ralenti en Chine
SFR lance la recherche TV unifiée sur la neufbox Evolution
MySpace revendu à Specific Media et Justin Timberlake
Procès Facebook : Paul
Haut de page