Google l'a confirmé : son navigateur web, Chrome, doit être mis à jour en urgence, suite à la révélation d'une faille critique de sécurité.
Si celle-ci était exploitée par un hacker, il pourrait l'utiliser pour prendre le contrôle de l'ordinateur supportant le navigateur.
Prise de contrôle
Le 27 août, le Centre de Sécurité Internet (CIS) rendait compte dans une note de sécurité de la présence d'une vulnérabilité qui pourrait, selon ses termes, « résulter en une exécution de code arbitraire », soit la possibilité de faire opérer une action à l'ordinateur ciblé, sans le consentement de son propriétaire bien sûr. La note est claire : « une exploitation de cette vulnérabilité pourrait permettre à un hacker d'exécuter un code arbitraire, d'obtenir des informations sensibles, d'outrepasser les restrictions de sécurité et de réaliser des actions non autorisées ».Les anglo-saxons parlent d'une faille de type « use-after-free » (UAF), qui exploite un bug atteignant la mémoire de l'ordinateur.
À noter cependant que seuls les ordinateurs (tournant sous Windows, macOS et Linux) sont concernés : les appareils fonctionnant sous iOS ou Android ne sont pas affectés. Cela représente tout de même un risque énorme pour les deux milliards d'utilisateurs de Chrome. Le CIS classe également comme « haut » le degré de risque que représente la faille pour les entreprises moyennes et grandes, ainsi que pour les organismes gouvernementaux.
Un correctif de sécurité dans les jours à venir
Google ne nie pas le danger, au contraire. Forbes rapporte que le géant américain travaille en urgence à une mise à jour de sécurité pour son navigateur. Celle-ci a été annoncée comme devant être disponible d'ici quelques jours, et elle pourrait donc déjà l'être à la publication de cet article. Les utilisateurs de Chrome sont bien entendu invités à surveiller les mises à jour de leur navigateur.D'autre part, Google a récompensé les personnes qui ont participé à révéler la faille. Luyao Liu et Zhe Jin, du Centre de réponse en sécurité de Qihoo 360, à Chengdu, ont reçu une récompense de 5 500 dollars. Une journée avant la publication de la note du CIS, Srinivas Sista, de l'équipe de Google Chrome, avait évoqué la présence d'une faille. Elle a remercié « tous les chercheurs en sécurité qui ont travaillé avec [ son équipe ] pendant le développement pour prévenir les bugs de sécurité ».
Pour la sécurité informatique de Google, c'est le nouvel épisode d'une série noire. Le 27 août, les utilisateurs d'Android ont en effet été avertis que l'application CamScanner, téléchargée 100 millions de fois, pouvait contenir un malware. Toujours sur Android, Symantec a aussi observé qu'1,5 million d'utilisateurs avaient été forcés de cliquer sur de la publicité...
Source : Forbes