Malgré sa centralisation dans le nuage, Chrome OS affiche encore des vulnérabilités qui ont permis à deux démonstrateurs, lors de la conférence de sécurité Black Hat, de compromettre des données confidentielles.
Google avait amplement souligné la fiabilité de Chrome OS, et il est vrai que son système de double validation des disques est un plus indéniable pour la sécurité. La société était si sûre d’elle qu’elle avait promis 20 000 $ à toute personne capable de hacker son système d’exploitation dans le navigateur. Voilà qui est chose faite, de la part de Matt Johanson et Kyle Osborn, qui ont profité de la conférence de sécurité Black Hat de Las Vegas pour révéler des failles de sécurité exploitables via des extensions non certifiées.
Encensé pour sa sécurité avancée, Chrome OS ne pouvait pas beaucoup plus longtemps rester indemne. Voilà qui justifie les craintes quant à la viabilité du cloud en termes d’immunité aux cyber-attaques.
Google a fait le pari de se baser sur une application unique qui trouve sa source dans le nuage. Sous la forme d’un navigateur, ce nouveau système d’exploitation devrait minimiser les portes d’entrée pour les hackers. Ceci est un élément important de la stratégie de diversification de l’entreprise de Mountain View, déjà évoquée ici.
La faille provient de ScratchPad, une extension du système livrée avec Chrome OS qui permet de prendre des notes et de les sauvegarder dans Google Docs. Les chercheurs ont fait une démonstration publique de leur trouvaille lors de la conférence Black Hat.
Les deux représentants de White Hat Securities ont établi une connexion avec un site infecté, dans l’optique d’injecter du code malicieux dans le navigateur.
Ils sont parvenus à récupérer identifiants, mots de passe et… données bancaires, en clair, sans cryptage.
À l’instar d’Apple, Google concède à ses développeurs les droits de publication d’applications, sans certification préalable.
Une liberté qui pourrait enfreindre la sécurité et remettre en cause les milliers d’extensions indépendantes qui se baladent sur Internet.