En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

La sécurité de Google Chrome officiellement cassée (MAJ)

laisser un avis
Chrome, le navigateur qui avait réussi à passer à travers les mailles des filets des hackers lors du dernier Pwn2Own, s'est incliné face aux ingénieurs de la société française Vupen. Le bac à sable (sandbox), censé servir de sas de transition lors des téléchargements ou des connexions sur les différents sites internet, n'est désormais plus sûr de garantir une complète étanchéité.

Une vidéo de démonstration

Dans cette vidéo, démonstration est faite sur un poste Windows 7 SP1 (x64) que le navigateur va charger une application (ici, la calculatrice) depuis un emplacement distant et l'exécuter avec un niveau d'intégrité moyen attribué par le système d'exploitation. Aïe !

Mise à jour du 10 mai 2011 à 14h49

Chaouki Bekrar est le cofondateur et ancien directeur technique du FrSIRT (French Security Incident Response Team), centre de surveillance et de traitement des menaces informatiques. Il est aujourd'hui directeur de Vupen Security et directeur des recherches. Dans le cadre de cette annonce, il a accepté de répondre à quelques questions.


Peut-on dire que la sécurité de Google Chrome est tombée ?
Même si la vulnérabilité que nous avons découverte dans Google Chrome est critique, ce navigateur reste aujourd'hui l'un des plus sécurisés. A titre d'exemple, nous avons identifié trois méthodes différentes pour contourner le bac à sable d'Internet Explorer et une seule et unique méthode pour contourner celle de Chrome. Il serait sûrement plus facile pour des cybercriminels de s'attaquer à Internet Explorer.

Quelle est le niveau de risque pour les utilisateurs ?

Les vulnérabilités pourraient permettre à des personnes malveillantes de prendre le contrôle total d'un système via une page web spécialement conçue. Nous avons pu reproduire et exploiter les failles avec tous les systèmes Windows y compris Windows 7 SP1, Windows Vista SP2 et Windows XP SP3. Même si ces failles sont critiques, elles restent très difficiles à découvrir et à exploiter.

Avez-vous été contacté par Google ? Si oui, que vous ont-ils dit ?
Non, Google ne nous a pas contactés.

Depuis quand travaillez-vous sur l'exploitation de cette vulnérabilité ?
Nous nous penchons depuis plusieurs mois sur la sécurité et les faiblesses des navigateurs et leur bac à sable, ce qui nous a naturellement conduits à Chrome. Nous avons audité une grande partie de sa surface d'attaque et avons découvert une faille permettant de contourner la sandbox. Cette faille ne peut être exploitée que si elle est combinée à d'autres vulnérabilités afin de contourner les autres protections comme ASLR et DEP.

Que reprocheriez-vous à Google ?
Google a toujours encouragé les chercheurs à auditer son navigateur Chrome et à identifier ses failles. L'éditeur participe d'ailleurs comme sponsor au concours de sécurité pwn2own, ce qui nous a incités à focaliser notre recherche sur Chrome. Nos découvertes permettront de rendre ce navigateur encore plus sécurisé.

envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
[Vidéo 01 Replay] La sécurisation des données personnelles sur le web préoccupe les Français
Résultats T3 : Gemalto confirme ses objectifs pour l’année
Touch ID: une sécurisation bienvenue pour l'iPad en entreprise
L'attitude des salariés français induirait des risques sécuritaires
Etats-Unis : le groupe de discount Kmart victime d'une cyber-attaque
Sécurité : Symantec se scinde en deux
Les banques américaines victimes d'une vague de cyberattaques
Les pirates ont-ils désormais toujours un coup d'avance ?
Sébastien Faivre (Brainwave) : « Mettre une porte blindée ne suffit plus à protéger une entreprise »
Comment l’armée française se prépare à la cyberguerre
Les données personnelles de 76 millions de ménages compromises lors d'une cyber-attaque contre JP Morgan
Cybersécurité : l'avènement des objets connectés va poser d'énormes défis
Sécurité : face aux menaces, l’Anssi appelle à plus de collaboration entre les entreprises
Assises de la sécurité : l'Anssi insiste sur une réponse collective aux menaces
Un public élargi pour les Assises de la Sécurité 2014
Une trentaine de produits Oracle et Cisco impactés par Shellshock
Shellshock : les premières attaques déferlent sur la Toile
Cyber-attaque: les banques anglaises auront en 2015 un système d'alerte
Sécurité: la mégafaille «Shellshock» secoue le monde Linux et Mac OS
Sans contact : Gemalto gagne un contrat pour le métro de Pékin et bondit en Bourse