ChromeOS sensible aux attaques traditionnelles sur le Web

Hinault Romaric · 04/08/2011, 13h39

ChromeOS sensible aux attaques traditionnelles
Des chercheurs découvrent des vulnérabilités XSS dans les extensions de l’OS orienté Cloud de Google

Dès la première sortie de Chrome OS, Google a fait la promotion de son OS très orienté Cloud en utilisant l'argument de la sécurité. Son système serait extrêmement sécurisé, automatiquement mis à jour, chiffré au démarrage, etc.

Cloud Computing oblige, Chrome OS ne stocke, de plus, aucune information en local.

Bref, le système était présenté comme beaucoup plus sécurisé et à l’abri des attaques donc que les OS "traditionnels".

Mais selon des chercheurs de la firme de sécurité White Hack, le système d’exploitation de Google ne ferait pas exception à la règle et présenterait quelques faiblesses.

Matt Johansen, et Kyle Osborn ont ainsi déclaré, lors du salon Black Hat qui se déroule actuellement à Las Vegas, avoir découvert des failles dans Chrome OS.

Les menaces identifiées par les chercheurs proviennent principalement de l’utilisation des extensions, essentiellement des applications Web qui ont accès aux cookies, à l'historique de navigateur, au profil d’un utilisateur, etc.

Les extensions/applications incriminées sont pour la majorité victimes d’une faille de sécurité XSS (cross-site scripting) qui peut-être exploitée par des pirates pour injecter du code malveillant dans le navigateur d’un utilisateur (or Chrome OS s'appuie sur Chrome), et dans certains cas voler ses informations d’identification pour ses comptes utilisateurs.

Pire, les chercheurs ont découvert qu’une vulnérabilité dans une extension pouvait être utilisée pour détourner l’activité et récupérer les informations d’une autre extension, même si cette dernière est sécurisée.

Les chercheurs ont fait une démonstration d’une attaque en volant le contenu d’un compte Gmail, le tout en exploitant l’extension de prise de notes ScratchPad (les autorisations accordées à ScratchPad permettent une synchronisation automatique avec un compteur utilisateur Google Docs).

Bref Chrome OS est sécurisé. Mais certainement pas infaillible.

Source : Black Hat

Et vous ?

Que pensez-vous de ces démonstrations d'attaques de Chrome OS ?

kOrt3x · 04/08/2011, 13h42

Comme dans tous les OS et même celui de Google il y aura des failles.

nosdo · 04/08/2011, 15h20

C'est un peu paradoxale de penser sécurité sur un OS basé entièrement sur le cloud.

Uther · 04/08/2011, 18h16

Oui et non : la sécurité en général est un problème très complexe. Dire simplement c'est "plus sécurisé" ou c'est "moins sécurisé" ne veut absolument rien dire.
Les problématiques sont juste bien différentes.

Le Cloud permet quand même de limiter un problème de sécurité essentiel pour beaucoup : le manque de compétence de l'utilisateur lambda pour utiliser sa machine de manière sécurisée. En effet, il permet d'éliminer complètement les 2 fléaux que sont les non mises à jour et l'exécution de programmes malicieux.
De plus l'aspect bac a sable des applications web apporte bien évidement un complément de sécurité.

Mais il est vrai que ça pose aussi de nouveaux problèmes sérieux comme la sécurisation de la connexion à l'hébergeur, et surtout la confiance que l'on peu lui accorder.

Cxx-waves · 04/08/2011, 18h19

Le problème avec un PC orienté à 100% sur le Cloud, c'est que la moindre faille critique permet d'accéder à tous les comptes en ligne qui sont actifs. Hors avec Google, les données sont en parmanence transférées en ligne (mais aussi les services Dropbox, ...). De plus, on va se retrouver face á une recherche d'exploits sur la SandBox directement, comme avec celle D'Internet Explorer.

Effectivement, le système est transparent pour l'utilisateur (pas de gestion des mises à jour, de la sécurité, des programmes lancés au démarrage, ...), mais cette transparence empêche le contrôle total sur l'ordinateur en cas d'infection (si un jour il y en a).

Uther · 04/08/2011, 18h31

Citation:

Envoyé par Cxx-waves

Le problème avec un PC orienté à 100% sur le Cloud, c'est que la moindre faille critique permet d'accéder à tous les comptes en ligne qui sont actifs.

Et sur un PC normal, une faille critique permet généralement aussi d'accéder à absolument tout. Sur ce point là, ce n'est pas plus ni moins dangereux.

Citation:

Envoyé par Cxx-waves

De plus, on va se retrouver face á une recherche d'exploits sur la SandBox directement, comme avec celle D'Internet Explorer.

Ce qui reste plus complexe que rien du tout.

abriotde · 11/08/2011, 16h45

Cet OS semble adapté aux entreprises car de plus en plus leurs applis sont "web" et leurs poste clients dit lourds ont en réalité une configuration assez légère.
Et l'intérêt en sécurité est alors que le poste clients ne peut quasiment plus être infecté par une clé USB aux virus trop standard classique...

04/08/2011, 13h39	#1
Hinault Romaric Chroniqueur Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 118 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 118 Points : 31 158 Points : 31 158	ChromeOS sensible aux attaques traditionnelles sur le Web ChromeOS sensible aux attaques traditionnelles Des chercheurs découvrent des vulnérabilités XSS dans les extensions de l’OS orienté Cloud de Google Dès la première sortie de Chrome OS, Google a fait la promotion de son OS très orienté Cloud en utilisant l'argument de la sécurité. Son système serait extrêmement sécurisé, automatiquement mis à jour, chiffré au démarrage, etc. Cloud Computing oblige, Chrome OS ne stocke, de plus, aucune information en local. Bref, le système était présenté comme beaucoup plus sécurisé et à l’abri des attaques donc que les OS "traditionnels". Mais selon des chercheurs de la firme de sécurité White Hack, le système d’exploitation de Google ne ferait pas exception à la règle et présenterait quelques faiblesses. Matt Johansen, et Kyle Osborn ont ainsi déclaré, lors du salon Black Hat qui se déroule actuellement à Las Vegas, avoir découvert des failles dans Chrome OS. Les menaces identifiées par les chercheurs proviennent principalement de l’utilisation des extensions, essentiellement des applications Web qui ont accès aux cookies, à l'historique de navigateur, au profil d’un utilisateur, etc. Les extensions/applications incriminées sont pour la majorité victimes d’une faille de sécurité XSS (cross-site scripting) qui peut-être exploitée par des pirates pour injecter du code malveillant dans le navigateur d’un utilisateur (or Chrome OS s'appuie sur Chrome), et dans certains cas voler ses informations d’identification pour ses comptes utilisateurs. Pire, les chercheurs ont découvert qu’une vulnérabilité dans une extension pouvait être utilisée pour détourner l’activité et récupérer les informations d’une autre extension, même si cette dernière est sécurisée. Les chercheurs ont fait une démonstration d’une attaque en volant le contenu d’un compte Gmail, le tout en exploitant l’extension de prise de notes ScratchPad (les autorisations accordées à ScratchPad permettent une synchronisation automatique avec un compteur utilisateur Google Docs). Bref Chrome OS est sécurisé. Mais certainement pas infaillible. Source : Black Hat Et vous ? Que pensez-vous de ces démonstrations d'attaques de Chrome OS ? __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	10

04/08/2011, 13h42	#2
kOrt3x Rédacteur/Modérateur Aurélien Gaymay Technicien Informatique/Etudiant Web Inscription : septembre 2006 Messages : 2 320 Détails du profil Informations personnelles : Nom : Aurélien Gaymay Âge : 29 Localisation : France, Nord (Nord Pas de Calais) Informations professionnelles : Activité : Technicien Informatique/Etudiant Web Secteur : Santé Informations forums : Inscription : septembre 2006 Messages : 2 320 Points : 7 272 Points : 7 272	Comme dans tous les OS et même celui de Google il y aura des failles. __________________ QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore) QuickEvent Lite : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore) ______________________________________________________________________________________ La rubrique Mac - Les cours & tutoriels Mac - Critiques de Livres Mac
	20

04/08/2011, 15h20	#3
nosdo Membre du Club Inscription : mai 2005 Messages : 50 Détails du profil Informations personnelles : Localisation : France Informations forums : Inscription : mai 2005 Messages : 50 Points : 50 Points : 50	C'est un peu paradoxale de penser sécurité sur un OS basé entièrement sur le cloud.
	51

04/08/2011, 18h19	#5
Cxx-waves Invité de passage Inscription : août 2009 Messages : 2 Détails du profil Informations forums : Inscription : août 2009 Messages : 2 Points : 3 Points : 3	Securité ... ou pas Le problème avec un PC orienté à 100% sur le Cloud, c'est que la moindre faille critique permet d'accéder à tous les comptes en ligne qui sont actifs. Hors avec Google, les données sont en parmanence transférées en ligne (mais aussi les services Dropbox, ...). De plus, on va se retrouver face á une recherche d'exploits sur la SandBox directement, comme avec celle D'Internet Explorer. Effectivement, le système est transparent pour l'utilisateur (pas de gestion des mises à jour, de la sécurité, des programmes lancés au démarrage, ...), mais cette transparence empêche le contrôle total sur l'ordinateur en cas d'infection (si un jour il y en a).
	10

04/08/2011, 18h16	#4
Uther Expert Confirmé Inscription : avril 2002 Messages : 2 297 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : avril 2002 Messages : 2 297 Points : 3 957 Points : 3 957	Oui et non : la sécurité en général est un problème très complexe. Dire simplement c'est "plus sécurisé" ou c'est "moins sécurisé" ne veut absolument rien dire. Les problématiques sont juste bien différentes. Le Cloud permet quand même de limiter un problème de sécurité essentiel pour beaucoup : le manque de compétence de l'utilisateur lambda pour utiliser sa machine de manière sécurisée. En effet, il permet d'éliminer complètement les 2 fléaux que sont les non mises à jour et l'exécution de programmes malicieux. De plus l'aspect bac a sable des applications web apporte bien évidement un complément de sécurité. Mais il est vrai que ça pose aussi de nouveaux problèmes sérieux comme la sécurisation de la connexion à l'hébergeur, et surtout la confiance que l'on peu lui accorder.
	00

11/08/2011, 16h45	#7
abriotde Membre actif Développeur informatique Inscription : juillet 2007 Messages : 132 Détails du profil Informations personnelles : Sexe : Âge : 30 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Opérateur de télécommunications Informations forums : Inscription : juillet 2007 Messages : 132 Points : 152 Points : 152	Cet OS semble adapté aux entreprises car de plus en plus leurs applis sont "web" et leurs poste clients dit lourds ont en réalité une configuration assez légère. Et l'intérêt en sécurité est alors que le poste clients ne peut quasiment plus être infecté par une clé USB aux virus trop standard classique...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email