Récemment, Google a étendu son programme de sécurité au système Chrome OS. Ce concours concernait jusqu’à présent uniquement le navigateur. En cette année 2012, un budget de 1 million de dollars est alloué pour récompenser ceux qui parviendront à mettre à mal la sécurité de la plateforme.
Jusqu’à présent, Chrome OS n’a pas connu de faille grave. En août 2011, durant le Black Hat 2011, deux experts ont toutefois réussi à exploiter une faille de l’extension Scratchpad pour récupérer des informations saisies en clair dans d’autres applications. Depuis, je me discipline à n’installer aucune extension sur Chrome, en dehors de celles proposées par Google lui-même et qui représentent un réel intérêt, comme Chrome To Phone par exemple.
A la conférence RSA 2012, M. Roel Schouwenberg, chercheur spécialisé dans la sécurité informatique chez Kaspersky Labs, a lancé un message d’avertissement à ceux qui voudraient utiliser Chrome OS dans le cadre de l’entreprise. Selon lui, le système comporterait des erreurs de design qui pourraient l’exposer à des extensions malveillantes accessibles à partir du Web Store.
Contradictoirement, il salue aussi l’extrême solidité de Chrome OS sur le plan de la sécurité.
La réponse de Google n’a pas tardé. Le système d’extension a été renforcé avec des technologies comme la Content-Security-Policy et Kaspersky est cordialement invité à proposer sa propre solution de protection anti-malware au travers… d’une extension.
Ce qu’il faut retenir dans tout ça, c’est que le discours des experts en sécurité travaillant pour des boîtes vendant des logiciels anti-virus sera toujours orienté de façon à encourager l’achat de ces solutions. Selon moi, le fait que Chrome OS possède son propre système de protection intégré risquerait de mettre à mal le business de la sécurité, car si les Chromebooks sont massivement déployés en entreprises, cela fait d’autant moins de licences anti-virus sur le budget des directions informatique.
La réalité est que jusqu’à présent, en dehors des extensions, aucune application web (et même NaCl) n’a réussi à corrompre le système, ce qui distingue assez fortement Chrome OS de Windows, Mac OS, etc…
Edit: entre temps, nous savons tous que Google Chrome a pu être craqué en moins de 5 minutes lors de la dernière conférence sur la sécurité. J’y reviendrais dans de prochains articles.
![[Valid Atom 1.0]](http://feedvalidator.org/images/valid-atom.png "Validate my Atom 1.0 feed")
0 commentaires:
Enregistrer un commentaire