ChromeOS : des chercheurs découvrent des vulnérabilités
Via les extensions/applications de l'OS très orienté Cloud de Google

Le , par Hinault Romaric, Responsable .NET
Dès la première sortie de Chrome OS, Google a fait la promotion de son OS très orienté Cloud en utilisant l'argument de la sécurité. Son système serait extrêmement sécurisé, automatiquement mis à jour, chiffré au démarrage, etc.

Cloud Computing oblige, Chrome OS ne stocke, de plus, aucune information en local.

Bref, le système était présenté comme beaucoup plus sécurisé et à l’abri des attaques donc que les OS "traditionnels".

Mais selon des chercheurs de la firme de sécurité White Hack, le système d’exploitation de Google ne ferait pas exception à la règle et présenterait quelques faiblesses.

Matt Johansen, et Kyle Osborn ont ainsi déclaré, lors du salon Black Hat qui se déroule actuellement à Las Vegas, avoir découvert des failles dans Chrome OS.

Les menaces identifiées par les chercheurs proviennent principalement de l’utilisation des extensions, essentiellement des applications Web qui ont accès aux cookies, à l'historique de navigateur, au profil d’un utilisateur, etc.

Les extensions/applications incriminées sont pour la majorité victimes d’une faille de sécurité XSS (cross-site scripting) qui peut-être exploitée par des pirates pour injecter du code malveillant dans le navigateur d’un utilisateur (or Chrome OS s'appuie sur Chrome), et dans certains cas voler ses informations d’identification pour ses comptes utilisateurs.

Pire, les chercheurs ont découvert qu’une vulnérabilité dans une extension pouvait être utilisée pour détourner l’activité et récupérer les informations d’une autre extension, même si cette dernière est sécurisée.

Les chercheurs ont fait une démonstration d’une attaque en volant le contenu d’un compte Gmail, le tout en exploitant l’extension de prise de notes ScratchPad (les autorisations accordées à ScratchPad permettent une synchronisation automatique avec un compteur utilisateur Google Docs).

Bref Chrome OS est sécurisé. Mais certainement pas infaillible.

Source : Black Hat

Et vous ?

Que pensez-vous de ces démonstrations d'attaques de Chrome OS ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kOrt3x kOrt3x - Modérateur https://www.developpez.com
le 04/08/2011 à 13:42
Comme dans tous les OS et même celui de Google il y aura des failles.
Avatar de nosdo nosdo - Membre régulier https://www.developpez.com
le 04/08/2011 à 15:20
C'est un peu paradoxale de penser sécurité sur un OS basé entièrement sur le cloud.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 04/08/2011 à 18:16
Oui et non : la sécurité en général est un problème très complexe. Dire simplement c'est "plus sécurisé" ou c'est "moins sécurisé" ne veut absolument rien dire.
Les problématiques sont juste bien différentes.

Le Cloud permet quand même de limiter un problème de sécurité essentiel pour beaucoup : le manque de compétence de l'utilisateur lambda pour utiliser sa machine de manière sécurisée. En effet, il permet d'éliminer complètement les 2 fléaux que sont les non mises à jour et l'exécution de programmes malicieux.
De plus l'aspect bac a sable des applications web apporte bien évidement un complément de sécurité.

Mais il est vrai que ça pose aussi de nouveaux problèmes sérieux comme la sécurisation de la connexion à l'hébergeur, et surtout la confiance que l'on peu lui accorder.
Avatar de Cxx-waves Cxx-waves - Nouveau membre du Club https://www.developpez.com
le 04/08/2011 à 18:19
Le problème avec un PC orienté à 100% sur le Cloud, c'est que la moindre faille critique permet d'accéder à tous les comptes en ligne qui sont actifs. Hors avec Google, les données sont en parmanence transférées en ligne (mais aussi les services Dropbox, ...). De plus, on va se retrouver face á une recherche d'exploits sur la SandBox directement, comme avec celle D'Internet Explorer.

Effectivement, le système est transparent pour l'utilisateur (pas de gestion des mises à jour, de la sécurité, des programmes lancés au démarrage, ...), mais cette transparence empêche le contrôle total sur l'ordinateur en cas d'infection (si un jour il y en a).
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 04/08/2011 à 18:31
Citation Envoyé par Cxx-waves  Voir le message
Le problème avec un PC orienté à 100% sur le Cloud, c'est que la moindre faille critique permet d'accéder à tous les comptes en ligne qui sont actifs.

Et sur un PC normal, une faille critique permet généralement aussi d'accéder à absolument tout. Sur ce point là, ce n'est pas plus ni moins dangereux.

Citation Envoyé par Cxx-waves  Voir le message
De plus, on va se retrouver face á une recherche d'exploits sur la SandBox directement, comme avec celle D'Internet Explorer.

Ce qui reste plus complexe que rien du tout.
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 11/08/2011 à 16:45
Cet OS semble adapté aux entreprises car de plus en plus leurs applis sont "web" et leurs poste clients dit lourds ont en réalité une configuration assez légère.
Et l'intérêt en sécurité est alors que le poste clients ne peut quasiment plus être infecté par une clé USB aux virus trop standard classique...
Offres d'emploi IT
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte électronique de puissance expérimenté H/F
Safran - Ile de France - Villaroche - Réau

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil