La société française Vupen, spécialisée dans la sécurité informatique, annonce avoir réussi à craquer le système de sandboxing implémenté au sein de Google Chrome.
En dévoilant son navigateur Chrome, Google expliquait que ce dernier dispose d'un mode sandbox afin d'en améliorer sa sécurité. Sur son site officiel, Google précise que l'usage du sandboxing, également appelé le principe du bac à sable, permet "d'empêcher l'installation de logiciels malveillants sur votre ordinateur ou toute interaction entre les différents onglets. Votre navigateur est ainsi protégé contre les pages Web malveillantes qui pourraient tenter d'installer des programmes sur votre ordinateur, de surveiller vos activités sur le Web ou de dérober des données personnelles sur votre disque dur."
Reste que la société Vupen a découvert le moyen de contourner ce système de protection. Dans une vidéo de démonstration, les hackers présentent alors une page web spécialement conçue pour installer automatiquement une application, en l'occurrence il ne s'agit que d'une calculette. Notons au passage qu'aucune notification n'a été émise par le navigateur. Ce hack a été réalisé sur la version 11.0.696.65 de Chrome installé sur une copie de Windows 7 64-bit. Selon l'éditeur, l'attaque peut être réalisée sur l'ensemble des PC fonctionnant sous Windows et disposant d'une architecture 32 ou 64-bit.
Rappelons que Google vient tout juste de publier une version d'évaluation de Chrome 12, laquelle embarque précisément un mécanisme alertant les internautes en cas de téléchargement de malware. Reste à savoir si cette faille a été ou sera corrigée. Vupen n'en est pas à son premier coup d'essai puisqu'en mars dernier, lors du concours Pwn2own, les chercheurs avaient réussi à trouver une brèche au sein de Safari et remporté la somme de 15 000 dollars ainsi qu'un MacBook Air. L'attaque bien rodée n'avait alors duré que 5 secondes.