Chrome OS piraté à la conférence Black Hat

La société WhiteHat Security a présenté une faille de sécurité et son exploitation dans Chrome OS. Elle utilise l’extension ScratchPad qui est livrée avec le système et qui permet d’écrire un document et l’envoyer sur Google Docs.

Les experts ont pu voler le carnet d’adresses, ainsi que les cookies de la machine, accédant ainsi à d’autres comptes depuis le navigateur. Ils ont affirmé que Google a rapidement comblé les failles, mais le problème qui se cache derrière la manipulation est toujours présent.

Ils reconnaissent que Chrome OS est un système sûr, mais ajoute aussi que certains mécanismes mis en place par Google sont dangereux. Par exemple, un document Google Docs envoyé à un utilisateur n’a pas besoin d’être approuvé avant d’être reçu, ce qui accroît le risque de pouvoir lancer un code dangereux sans l’intervention de l’utilisateur. Quelqu’un qui prend contrôle d’un ordinateur Chrome OS pourrait alors utiliser l’Android Market pour installer à distance une application malveillante sur le téléphone Android de l’utilisateur à son insu. Il n’y a pas de système d’approbation des applications sur la plateforme de Google, ce qui signifie que certains virus ont déjà été proposés sur son service avant d’être retirés par l’éditeur.

Google a répondu en affirmant qu’il s’agissait de problèmes inhérents au web et non à Chrome OS lui-même. Le moteur de recherche est tout de même conscient des risques qui existent et a récemment publié un billet donnant des conseils pour écrire des extensions plus sûres. Le système d’exploitation lui-même intègre aussi de nombreuses mesures de sécurité qui se sont montrées très efficaces. Néanmoins, le temps dira si Google sera obligé de publier des API plus restrictives pour protéger l’utilisateur contre lui-même.