Chrome OS piraté, le nuage pas si sécurisé

P.B.
— 
Vos documents sur Google Docs, vos photos sur Picasa... C'est la politique Chromebook.
Vos documents sur Google Docs, vos photos sur Picasa... C'est la politique Chromebook. — google

C'est l'un des arguments de Google: Chrome OS, son système d'exploitation décentralisé sur le Web, serait plus sécurisé que Windows ou Mac OS. C'est sans doute vrai. Mais il n'est pas pour autant une forteresse imprenable: lors de la conférence Black Hat de Las Vegas, mercredi, deux chevaliers jedi de White Hat Securities ont mis à mal le système de Google.

Chrome OS n'est presque réduit qu'au navigateur Web. C'est sa force, car le système a moins de portes d'entrée pour les hackers, et il est toujours à jour. Mais un navigateur reste vulnérable. Matt Johanson and Kyle Osborn ont exploité une faille trouvée dans ScratchPad, une extension de Chrome OS qui permet de prendre des notes et de les sauvegarder dans le nuage.

Les extensions, le talon d'Achille

Via une attaque dite de Cross site scripting, qui utilise un site Internet infecté par un code malicieux, ils ont pu dérober de juteuses informations (identifiants, mots de passe, informations bancaires etc).

Selon eux, les extensions du navigateur sont le principal point faible de Chrome OS. Le système de de «sandboxing» (qui isole les onglets les uns des autres) est plutôt efficace. Problème, les extensions, par nature, ont des permissions bien plus larges. Google a aussitôt corrigé le problème avec ses plugins maison et contacté ses partenaires. Sauf que l'entreprise laisse une liberté totale aux développeurs  –les extensions n'ont pas à passer via un processus de certification, comme les applications de l'app store d'Apple. Le morale: liberté et sécurité ne font pas toujours bon ménage.