Récemment, Google a étendu son programme de sécurité au système Chrome OS. Ce concours concernait jusqu’à présent uniquement le navigateur. En cette année 2012, un budget de 1 million de dollars est alloué pour récompenser ceux qui parviendront à mettre à mal la sécurité de la plateforme.
Jusqu’à présent, Chrome OS n’a pas connu de faille grave. En août 2011, durant le Black Hat 2011, deux experts ont toutefois réussi à exploiter une faille de l’extension Scratchpad pour récupérer des informations saisies en clair dans d’autres applications. Depuis, je me discipline à n’installer aucune extension sur Chrome, en dehors de celles proposées par Google lui-même et qui représentent un réel intérêt, comme Chrome To Phone par exemple.
A la conférence RSA 2012, M. Roel Schouwenberg, chercheur spécialisé dans la sécurité informatique chez Kaspersky Labs, a lancé un message d’avertissement à ceux qui voudraient utiliser Chrome OS dans le cadre de l’entreprise. Selon lui, le système comporterait des erreurs de design qui pourraient l’exposer à des extensions malveillantes accessibles à partir du Web Store.
Contradictoirement, il salue aussi l’extrême solidité de Chrome OS sur le plan de la sécurité.
La réponse de Google n’a pas tardé. Le système d’extension a été renforcé avec des technologies comme la Content-Security-Policy et Kaspersky est cordialement invité à proposer sa propre solution de protection anti-malware au travers… d’une extension.
Ce qu’il faut retenir dans tout ça, c’est que le discours des experts en sécurité travaillant pour des boîtes vendant des logiciels anti-virus sera toujours orienté de façon à encourager l’achat de ces solutions. Selon moi, le fait que Chrome OS possède son propre système de protection intégré risquerait de mettre à mal le business de la sécurité, car si les Chromebooks sont massivement déployés en entreprises, cela fait d’autant moins de licences anti-virus sur le budget des directions informatique.
La réalité est que jusqu’à présent, en dehors des extensions, aucune application web (et même NaCl) n’a réussi à corrompre le système, ce qui distingue assez fortement Chrome OS de Windows, Mac OS, etc…
Edit: entre temps, nous savons tous que Google Chrome a pu être craqué en moins de 5 minutes lors de la dernière conférence sur la sécurité. J’y reviendrais dans de prochains articles.
Cracker Chrome en 5 minutes, après 6 semaines de préparation :). Mais bon, cracké quand même.
Cracké et aussitôt corrigé par google (du moins pour l’une des deux failles utilisées)
Oui de toute façon, on le dit même si c’est évident. Chrome a été cracké et le sera certainement encore. Mais ça reste à coup sur celui qui est le plus sécurisé.