Un défaut sur Google Chrome permettrait à un hacker de prendre le contrôle d'un ordinateur

Publié le 05 septembre 2019 à 16h25

Google l'a confirmé : son navigateur web, Chrome, doit être mis à jour en urgence, suite à la révélation d'une faille critique de sécurité.

Si celle-ci était exploitée par un hacker, il pourrait l'utiliser pour prendre le contrôle de l'ordinateur supportant le navigateur.

Prise de contrôle

Le 27 août, le Centre de Sécurité Internet (CIS) rendait compte dans une note de sécurité de la présence d'une vulnérabilité qui pourrait, selon ses termes, « résulter en une exécution de code arbitraire », soit la possibilité de faire opérer une action à l'ordinateur ciblé, sans le consentement de son propriétaire bien sûr. La note est claire : « une exploitation de cette vulnérabilité pourrait permettre à un hacker d'exécuter un code arbitraire, d'obtenir des informations sensibles, d'outrepasser les restrictions de sécurité et de réaliser des actions non autorisées ».

Les anglo-saxons parlent d'une faille de type « use-after-free » (UAF), qui exploite un bug atteignant la mémoire de l'ordinateur.

À noter cependant que seuls les ordinateurs (tournant sous Windows, macOS et Linux) sont concernés : les appareils fonctionnant sous iOS ou Android ne sont pas affectés. Cela représente tout de même un risque énorme pour les deux milliards d'utilisateurs de Chrome. Le CIS classe également comme « haut » le degré de risque que représente la faille pour les entreprises moyennes et grandes, ainsi que pour les organismes gouvernementaux.

À lire aussi : Navigateurs Web, notre comparatif 2019

Un correctif de sécurité dans les jours à venir

Google ne nie pas le danger, au contraire. Forbes rapporte que le géant américain travaille en urgence à une mise à jour de sécurité pour son navigateur. Celle-ci a été annoncée comme devant être disponible d'ici quelques jours, et elle pourrait donc déjà l'être à la publication de cet article. Les utilisateurs de Chrome sont bien entendu invités à surveiller les mises à jour de leur navigateur.

D'autre part, Google a récompensé les personnes qui ont participé à révéler la faille. Luyao Liu et Zhe Jin, du Centre de réponse en sécurité de Qihoo 360, à Chengdu, ont reçu une récompense de 5 500 dollars. Une journée avant la publication de la note du CIS, Srinivas Sista, de l'équipe de Google Chrome, avait évoqué la présence d'une faille. Elle a remercié « tous les chercheurs en sécurité qui ont travaillé avec [ son équipe ] pendant le développement pour prévenir les bugs de sécurité ».

Pour la sécurité informatique de Google, c'est le nouvel épisode d'une série noire. Le 27 août, les utilisateurs d'Android ont en effet été avertis que l'application CamScanner, téléchargée 100 millions de fois, pouvait contenir un malware. Toujours sur Android, Symantec a aussi observé qu'1,5 million d'utilisateurs avaient été forcés de cliquer sur de la publicité...

Source : Forbes

Par Benoît Théry

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellement, j'apprends à sourire sur mes photos de profil.

Articles de Benoît Théry

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

bmustang

je suis pas concerné et ne le serais JAMAIS ! Google

megadub

c’est facheux ce qui serait pas mal c’est de savoir si c’est le cas aussi quand on n’a pas de compte Google.

megadub

Quel intérêt de laisser un commentaire du coup ?

max_971

Je me posais la question, est-ce qu’il n’y aurait pas des agents secrets de la NSA qui seraient programmeurs chez Google et autres ?

Si tous les grandes entreprises informatique comblaient toutes les failles, impossible à la NSA de nous surveiller. Pas spécialement nous mais les américains d’abord.

megadub

Je te conseille de t’intéresser à l’affaire Snowden, notamment le film… la NSA va beaucoup plus loin que d’avoir des devs chez Google.

ctalpaert42

Le 27 août, c’était il y a plus d’une semaine… Du coup est-ce que la mise à jour a été publiée depuis ?
Quelle est la version de Chrome concernée ?
(actuellement j’ai la version 76.0.3809.132)

Sinic

Forbes rapporte que le géant américain travaille en urgence à une mise à jour de sécurité pour son navigateur. Celle-ci a été annoncée comme devant être disponible d’ici quelques jours, et elle pourrait donc déjà l’être à la publication de cet article. Les utilisateurs de Chrome sont bien entendu invités à surveiller les mises à jour de leur navigateur .

emiCHavO

La faille est dans le FileReader de Chrome donc je vois pas le rapport avec les comptes Google

emiCHavO

Le patch fait justement partie de la version 76.0.3809.132: https://chromereleases.googleblog.com/2019/08/stable-channel-update-for-desktop_26.html

Matrix-7000

Est-ce réellement une faille de sécurité! Quand on connaît l’historique de Google on est tout de même en droit de se poser la question!
Cela va encore relancer le débat entre les différents navigateurs, le plus rapide, le plus ceci, le plus cela…
Si je ne dis pas de bêtise, il n’y a pas si longtemps encore, Chrome ne vérifiait pas, par défaut, les listes de révocation de certificats électronique.