IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Autres systèmes Discussion :

ChromeOS sensible aux attaques traditionnelles sur le Web


Sujet :

Autres systèmes

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 325
    Points
    252 325
    Billets dans le blog
    117
    Par défaut ChromeOS sensible aux attaques traditionnelles sur le Web
    ChromeOS sensible aux attaques traditionnelles
    Des chercheurs découvrent des vulnérabilités XSS dans les extensions de l’OS orienté Cloud de Google

    Dès la première sortie de Chrome OS, Google a fait la promotion de son OS très orienté Cloud en utilisant l'argument de la sécurité. Son système serait extrêmement sécurisé, automatiquement mis à jour, chiffré au démarrage, etc.

    Cloud Computing oblige, Chrome OS ne stocke, de plus, aucune information en local.

    Bref, le système était présenté comme beaucoup plus sécurisé et à l’abri des attaques donc que les OS "traditionnels".

    Mais selon des chercheurs de la firme de sécurité White Hack, le système d’exploitation de Google ne ferait pas exception à la règle et présenterait quelques faiblesses.

    Matt Johansen, et Kyle Osborn ont ainsi déclaré, lors du salon Black Hat qui se déroule actuellement à Las Vegas, avoir découvert des failles dans Chrome OS.

    Les menaces identifiées par les chercheurs proviennent principalement de l’utilisation des extensions, essentiellement des applications Web qui ont accès aux cookies, à l'historique de navigateur, au profil d’un utilisateur, etc.

    Les extensions/applications incriminées sont pour la majorité victimes d’une faille de sécurité XSS (cross-site scripting) qui peut-être exploitée par des pirates pour injecter du code malveillant dans le navigateur d’un utilisateur (or Chrome OS s'appuie sur Chrome), et dans certains cas voler ses informations d’identification pour ses comptes utilisateurs.

    Pire, les chercheurs ont découvert qu’une vulnérabilité dans une extension pouvait être utilisée pour détourner l’activité et récupérer les informations d’une autre extension, même si cette dernière est sécurisée.

    Les chercheurs ont fait une démonstration d’une attaque en volant le contenu d’un compte Gmail, le tout en exploitant l’extension de prise de notes ScratchPad (les autorisations accordées à ScratchPad permettent une synchronisation automatique avec un compteur utilisateur Google Docs).

    Bref Chrome OS est sécurisé. Mais certainement pas infaillible.

    Source : Black Hat


    Et vous ?

    Que pensez-vous de ces démonstrations d'attaques de Chrome OS ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    septembre 2006
    Messages
    3 650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : septembre 2006
    Messages : 3 650
    Points : 15 767
    Points
    15 767
    Par défaut
    Comme dans tous les OS et même celui de Google il y aura des failles.
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  3. #3
    Membre régulier
    Profil pro
    Inscrit en
    mai 2005
    Messages
    54
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2005
    Messages : 54
    Points : 75
    Points
    75
    Par défaut
    C'est un peu paradoxale de penser sécurité sur un OS basé entièrement sur le cloud.

  4. #4
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 295
    Points : 12 912
    Points
    12 912
    Par défaut
    Oui et non : la sécurité en général est un problème très complexe. Dire simplement c'est "plus sécurisé" ou c'est "moins sécurisé" ne veut absolument rien dire.
    Les problématiques sont juste bien différentes.

    Le Cloud permet quand même de limiter un problème de sécurité essentiel pour beaucoup : le manque de compétence de l'utilisateur lambda pour utiliser sa machine de manière sécurisée. En effet, il permet d'éliminer complètement les 2 fléaux que sont les non mises à jour et l'exécution de programmes malicieux.
    De plus l'aspect bac a sable des applications web apporte bien évidement un complément de sécurité.

    Mais il est vrai que ça pose aussi de nouveaux problèmes sérieux comme la sécurisation de la connexion à l'hébergeur, et surtout la confiance que l'on peu lui accorder.

  5. #5
    Invité
    Invité(e)
    Par défaut Securité ... ou pas
    Le problème avec un PC orienté à 100% sur le Cloud, c'est que la moindre faille critique permet d'accéder à tous les comptes en ligne qui sont actifs. Hors avec Google, les données sont en parmanence transférées en ligne (mais aussi les services Dropbox, ...). De plus, on va se retrouver face á une recherche d'exploits sur la SandBox directement, comme avec celle D'Internet Explorer.

    Effectivement, le système est transparent pour l'utilisateur (pas de gestion des mises à jour, de la sécurité, des programmes lancés au démarrage, ...), mais cette transparence empêche le contrôle total sur l'ordinateur en cas d'infection (si un jour il y en a).
    Dernière modification par Invité ; 04/08/2011 à 18h30. Motif: Oubli

  6. #6
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 295
    Points : 12 912
    Points
    12 912
    Par défaut
    Citation Envoyé par Cxx-waves Voir le message
    Le problème avec un PC orienté à 100% sur le Cloud, c'est que la moindre faille critique permet d'accéder à tous les comptes en ligne qui sont actifs.
    Et sur un PC normal, une faille critique permet généralement aussi d'accéder à absolument tout. Sur ce point là, ce n'est pas plus ni moins dangereux.

    Citation Envoyé par Cxx-waves Voir le message
    De plus, on va se retrouver face á une recherche d'exploits sur la SandBox directement, comme avec celle D'Internet Explorer.
    Ce qui reste plus complexe que rien du tout.

  7. #7
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    838
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 838
    Points : 1 805
    Points
    1 805
    Par défaut
    Cet OS semble adapté aux entreprises car de plus en plus leurs applis sont "web" et leurs poste clients dit lourds ont en réalité une configuration assez légère.
    Et l'intérêt en sécurité est alors que le poste clients ne peut quasiment plus être infecté par une clé USB aux virus trop standard classique...
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

Discussions similaires

  1. Réponses: 4
    Dernier message: 15/07/2014, 19h16
  2. Réponses: 5
    Dernier message: 03/08/2010, 23h26
  3. Réponses: 5
    Dernier message: 08/04/2010, 20h07
  4. acces aux fichiers JSP sur WEB-INF
    Par fadex dans le forum Servlets/JSP
    Réponses: 12
    Dernier message: 02/05/2006, 13h54
  5. Page d'accés aux données Access sur un site web
    Par kilimanjaro dans le forum Access
    Réponses: 3
    Dernier message: 29/01/2006, 19h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo