ChromeOS : des chercheurs découvrent des vulnérabilités
Via les extensions/applications de l'OS très orienté Cloud de Google
Le 2011-08-04 13:39:51, par Hinault Romaric, Responsable .NET
Dès la première sortie de Chrome OS, Google a fait la promotion de son OS très orienté Cloud en utilisant l'argument de la sécurité. Son système serait extrêmement sécurisé, automatiquement mis à jour, chiffré au démarrage, etc.
Cloud Computing oblige, Chrome OS ne stocke, de plus, aucune information en local.
Bref, le système était présenté comme beaucoup plus sécurisé et à l’abri des attaques donc que les OS "traditionnels".
Mais selon des chercheurs de la firme de sécurité White Hack, le système d’exploitation de Google ne ferait pas exception à la règle et présenterait quelques faiblesses.
Matt Johansen, et Kyle Osborn ont ainsi déclaré, lors du salon Black Hat qui se déroule actuellement à Las Vegas, avoir découvert des failles dans Chrome OS.
Les menaces identifiées par les chercheurs proviennent principalement de l’utilisation des extensions, essentiellement des applications Web qui ont accès aux cookies, à l'historique de navigateur, au profil d’un utilisateur, etc.
Les extensions/applications incriminées sont pour la majorité victimes d’une faille de sécurité XSS (cross-site scripting) qui peut-être exploitée par des pirates pour injecter du code malveillant dans le navigateur d’un utilisateur (or Chrome OS s'appuie sur Chrome), et dans certains cas voler ses informations d’identification pour ses comptes utilisateurs.
Pire, les chercheurs ont découvert qu’une vulnérabilité dans une extension pouvait être utilisée pour détourner l’activité et récupérer les informations d’une autre extension, même si cette dernière est sécurisée.
Les chercheurs ont fait une démonstration d’une attaque en volant le contenu d’un compte Gmail, le tout en exploitant l’extension de prise de notes ScratchPad (les autorisations accordées à ScratchPad permettent une synchronisation automatique avec un compteur utilisateur Google Docs).
Bref Chrome OS est sécurisé. Mais certainement pas infaillible.
Source : Black Hat
Et vous ?
Cloud Computing oblige, Chrome OS ne stocke, de plus, aucune information en local.
Bref, le système était présenté comme beaucoup plus sécurisé et à l’abri des attaques donc que les OS "traditionnels".
Mais selon des chercheurs de la firme de sécurité White Hack, le système d’exploitation de Google ne ferait pas exception à la règle et présenterait quelques faiblesses.
Matt Johansen, et Kyle Osborn ont ainsi déclaré, lors du salon Black Hat qui se déroule actuellement à Las Vegas, avoir découvert des failles dans Chrome OS.
Les menaces identifiées par les chercheurs proviennent principalement de l’utilisation des extensions, essentiellement des applications Web qui ont accès aux cookies, à l'historique de navigateur, au profil d’un utilisateur, etc.
Les extensions/applications incriminées sont pour la majorité victimes d’une faille de sécurité XSS (cross-site scripting) qui peut-être exploitée par des pirates pour injecter du code malveillant dans le navigateur d’un utilisateur (or Chrome OS s'appuie sur Chrome), et dans certains cas voler ses informations d’identification pour ses comptes utilisateurs.
Pire, les chercheurs ont découvert qu’une vulnérabilité dans une extension pouvait être utilisée pour détourner l’activité et récupérer les informations d’une autre extension, même si cette dernière est sécurisée.
Les chercheurs ont fait une démonstration d’une attaque en volant le contenu d’un compte Gmail, le tout en exploitant l’extension de prise de notes ScratchPad (les autorisations accordées à ScratchPad permettent une synchronisation automatique avec un compteur utilisateur Google Docs).
Bref Chrome OS est sécurisé. Mais certainement pas infaillible.
Source : Black Hat
Et vous ?
-
nosdoMembre régulierC'est un peu paradoxale de penser sécurité sur un OS basé entièrement sur le cloud.le 04/08/2011 à 15:20
-
kOrt3xModérateurComme dans tous les OS et même celui de Google il y aura des failles.le 04/08/2011 à 13:42
-
Le problème avec un PC orienté à 100% sur le Cloud, c'est que la moindre faille critique permet d'accéder à tous les comptes en ligne qui sont actifs. Hors avec Google, les données sont en parmanence transférées en ligne (mais aussi les services Dropbox, ...). De plus, on va se retrouver face á une recherche d'exploits sur la SandBox directement, comme avec celle D'Internet Explorer.
Effectivement, le système est transparent pour l'utilisateur (pas de gestion des mises à jour, de la sécurité, des programmes lancés au démarrage, ...), mais cette transparence empêche le contrôle total sur l'ordinateur en cas d'infection (si un jour il y en a).le 04/08/2011 à 18:19 -
UtherExpert éminent séniorOui et non : la sécurité en général est un problème très complexe. Dire simplement c'est "plus sécurisé" ou c'est "moins sécurisé" ne veut absolument rien dire.
Les problématiques sont juste bien différentes.
Le Cloud permet quand même de limiter un problème de sécurité essentiel pour beaucoup : le manque de compétence de l'utilisateur lambda pour utiliser sa machine de manière sécurisée. En effet, il permet d'éliminer complètement les 2 fléaux que sont les non mises à jour et l'exécution de programmes malicieux.
De plus l'aspect bac a sable des applications web apporte bien évidement un complément de sécurité.
Mais il est vrai que ça pose aussi de nouveaux problèmes sérieux comme la sécurisation de la connexion à l'hébergeur, et surtout la confiance que l'on peu lui accorder.le 04/08/2011 à 18:16 -
UtherExpert éminent séniorEt sur un PC normal, une faille critique permet généralement aussi d'accéder à absolument tout. Sur ce point là, ce n'est pas plus ni moins dangereux.
Ce qui reste plus complexe que rien du tout.le 04/08/2011 à 18:31 -
abriotdeMembre chevronnéCet OS semble adapté aux entreprises car de plus en plus leurs applis sont "web" et leurs poste clients dit lourds ont en réalité une configuration assez légère.
Et l'intérêt en sécurité est alors que le poste clients ne peut quasiment plus être infecté par une clé USB aux virus trop standard classique...le 11/08/2011 à 16:45