Sécurité : Chrome veut prendre une longueur d'avance

Une nouvelle fonctionnalité de Chrome va pouvoir empêcher des téléchargements malveillants. Une autre particularité du navigateur, dont la sécurité s'est récemment démarquée et fait remarquer.

"Avec ce nouvel avertissement sur les téléchargements dangereux, son Reader PDF intégré et ses gestions des alertes, Chrome mène la course sur le terrain de la sécurité des navigateurs". La sentence n'est pas de Google, mais d'un expert bien connu en sécurité : Mikko H. Hypponen, directeur de la recherche chez F-Secure.

Il réagit à une nouveauté que Mountain View va inclure dans son navigateur : une nouvelle protection contre les téléchargements suspects. Cette dernière vient en effet s'ajouter à plusieurs couches de sécurité particulières à Chrome, que Google a d'ailleurs eu récemment l'occasion de démontrer.

 

Chrome contre les fichiers exécutables malveillants

Dans un billet posté sur le blog officiel de Google, Moheeb Abu Rajab et l'équipe de sécurité Google annoncent une nouvelle alarme intégrée à Chrome voulant alerter l'utilisateur qui "tente de télécharger un fichier exécutable suspecté d'être malveillant".

Bêta testée et vraisemblablement disponible dans la prochaine version stable de Chrome, cette fonctionnalité ne vise pas les téléchargements cherchant exploiter des vulnérabilités mais ceux qui effectuent "des actions sans le consentement de l'utilisateur, telles que l'affichage de spam en pop up, la fraude au clic, ou même le vol de mots de passe."

Google évoque également les sites proposant des téléchargements et "qui promettent des choses mais en fait, se comportent très différemment."  Bref, ceux qui "utilisent l'ingénierie sociale pour inciter les utilisateurs à télécharger et exécuter du contenu malveillant", selon les termes de Google.

 

Fonctionnement

L'avertissement est déclenché pour toutes les URL de téléchargement figurant sur liste actualisée des sites Web malveillants repérés par Google et disponible via son l'API Safe Browsing.

Google ne manque d'ailleurs pas de rappeler que cette API voulant protéger la navigation contre les redoutables attaques en "drive by " (infection via la navigation, et non via téléchargement) est désormais utilisé par des navigateurs "tels que Chrome, Firefox ou Safari ". Un moyen de dire également que les données récoltées par Google et son expertise en matière de sécurité sont reconnues, et même utilisées, par ses concurrents.

"Il y a Google derrière Chrome. C'est un avantage par rapport à Firefox qui peut intéresser les décideurs."

L'actualité récente a d'ailleurs aussi fait ressortir certaines qualités du navigateur de Google, et notamment sa réactivité en matière de sécurité.  Google a en effet corrigé plus vite qu'Adobe la faille affectant le Reader d'Adobe (et ayant permis, entre autres la spectaculaire fuite d'informations chez SecurID).

C'est en effet grâce à sa gestion des vulnérabilités, ses mises à jour automatiques rapides, tout comme sa propre gestion du Reader, évoqués par l'expert de F-Secure, que Google a pu protéger son navigateur avant tous les autres, soumis au calendrier d'Adobe. 

A noter également que Chrome, tout comme Firefox d'ailleurs, n'est pas tombé lors du concours Pwn2own qui a mis à genoux  les principaux navigateurs. Cependant, il semble que l'attaque prévue contre Chrome n'ait pu se faire car le hacker a divulgué la faille à Google, qui a ensuite pu la corriger en urgence,  juste avant le concours.

 

Vulnérable, mais réactif

Car c'est bien sa réactivité qui ensemble faire la force de Google en matière de sécurisation de son navigateur. Le dernier grand rapport annuel de Symantec converge également vers cette conclusion. 

Le nombre de vulnérabilités documentées sur Chrome est largement au dessus des autres navigateurs (191, contre 59 pour IE par exemple), mais sa fenêtre d'exposition, entre la découverte de la faille et sa correction, est aussi la plus courte. Google corrige en moins d'une  moins d'une journée. Il en faut quatre pour Internet Explorer.

Si le navigateur a encore des preuves à faire en entreprise, certains DSI ont fait part de leur intérêt à la SSLL Linagora. Le directeur du LinStudio, Jean Semere fait en effet remarquer qu'"il y a Google derrière Chrome. C'est un avantage par rapport à Firefox qui peut intéresser les décideurs".