En présentant son système Chrome OS et ses Chromebook, Google mettait en avant la sécurité de son système. En plus d'un dispositif de mises à jour automatiques et d'un chiffrement des données sur le serveur, le système alloue un processus dédié à chaque onglet, dispose d'une amorce système sécurisée, d'un mode de restauration usine ainsi que d'un compte utilisateur Invité.
Malgré ces efforts, l'expert en sécurité Matt Johansen, de la société WhiteHat Security, annonce avoir repéré une faille. Plus précisément, celle-ci se dissimulerait au sein du gestionnaire des extensions. Sans plus de précisions, il explique qu'une extension permettant de prendre des notes pouvait être utilisée pour pénétrer au sein de Gmail. Après avoir alerté Google, la vulnérabilité a été corrigée.
Reste qu'il ne s'agirait que de « la partie visible de l'iceberg (...) nous pensons que cela deviendra une nouvelle cible pour les malwares », explique le chercheur à Reuters. Il ajoute que si les données sensibles ne sont plus hébergées sur le disque dur local mais sur des serveurs distants, celles-ci ne sont pas mieux protégées. « Je peux me connecter sur votre service de compte bancaire, votre profil Facebook ou vos emails lorsque vous chargez (le site) depuis votre navigateur », affirme-t-il.
Matt Johansen explique que le coeur du problème vient du gestionnaire des extensions au sein du navigateur ; certaines d'entre elles ayant des droits trop élevés pour manipuler les données hébergées à distance. « Chrome accorde une confiance plus élevée à ces extensions qu'à n'importe quel autre site Internet », déclare l'expert.
Face à ces découvertes Google explique avoir voulu faciliter la publication des extensions pour le développeur mais planche tout de même sur un dispositif capable de repérer celles disposant de droits trop élevés afin de prévenir l'internaute d'un danger potentiel. Alex Stamos, expert au cabinet iSec Partners et ayant aidé Google dans la mise en oeuvre du système de sécurité de Chrome OS, souhaite tout de même modérer les propos de M. Johansen en affirmant : « même si les choses ne sont pas parfaites, nous avons un environnement plus contrôlé et davantage sécurisé que sur Windows or Mac ».
