Michael Cain
0 
2386
310
À première vue, le ChromeOS de Google est un peu un touché pour la sécurité du système d'exploitation. Il s’agit probablement du système d’exploitation le plus sécurisé au monde (au prix de quelques fonctionnalités limitées. Tout ce que vous devez savoir sur le passage à un Chromebook Tout ce que vous devez savoir sur le passage à un Chromebook. Les Chromebooks fonctionnent sous un système d’exploitation allégé, optimisé pour la navigation. sur le Web avec uniquement le navigateur Chrome et les applications Chrome. Pouvez-vous passer à un Chromebook?). Malheureusement, ChromeOS n’est pas une panacée et les problèmes de sécurité liés à la plate-forme demeurent.
Tout d’abord, la bonne nouvelle:
ChromeOS (le système d'exploitation linux épuré qui fonctionne sur les netbooks Chrome de marque Chrome bon marché Toshiba CB35-A3120 Chromebook Review et cadeau Chromebook Review CBB-A3120 Toshiba CB35-A3120 Vous pouvez obtenir des Chromebooks vraiment bon marché si vous voulez bien obtenir un 11.6- pouces.) a un tas de fonctionnalités vraiment sympas pour les utilisateurs soucieux de la sécurité. Le code de chargement est stocké dans la mémoire en lecture seule et vérifie la signature numérique du noyau du système d'exploitation avant le démarrage (le “démarrage vérifié” fonctionnalité). Parce que le chargeur de démarrage est dans la ROM, les pirates ne peuvent pas le modifier sans altérer physiquement la puce. Si les fichiers du système échouent à la vérification, le chargeur de démarrage réinitialisera simplement la machine entière aux paramètres d'usine, en détruisant tout code malveillant qui aurait pu être inséré..
La sécurité de la plate-forme est encore renforcée car elle repose sur des applications Web, qui s'exécutent dans un bac à sable: leurs threads et leur mémoire sont séparés, empêchant théoriquement une application Web malveillante d'accéder à des informations ou de prendre le contrôle d'autres applications. Les mises à jour système contenant des correctifs de sécurité sont appliquées automatiquement et de manière invisible lorsque l'ordinateur est connecté au réseau, afin de garantir que les Chromebooks sont toujours à jour. Il existe même quelques options de sécurité. Sécurisation de votre Chromebook en deux ajustements simples. Sécurisation de votre Chromebook en deux réglages simples. L'un des avantages les plus vantés d'un Chromebook est sa sécurité. Mais les propriétaires peuvent-ils prendre des mesures qui amélioreront et renforceront le niveau de protection actuel? vous pouvez activer la protection du périphérique contre les attaquants ayant un accès physique au périphérique. Essayer de mettre du malware sur une machine ChromeOS n’est pas une tâche enviable. Vous pouvez parler de la sécurité de la plate-forme ChromeOS ici.
Donc quel est le problème?
Vous ne pouvez pas faire confiance au bac à sable
Malheureusement, la sécurité offerte par le sandboxing Web est en grande partie informelle et non prouvée. De nombreux bacs à sable, y compris Java, ont été découverts des bogues permettant aux applications de les extraire et d'exécuter des instructions arbitraires sur la machine. Chrome lui-même a eu des attaques de type «bac à sable» démontrées par des pirates Black Hat. Ces exploits spécifiques sont maintenant corrigés, mais rien ne garantit qu'il n'y en a pas davantage. Rik Ferguson, chercheur en sécurité, dit ceci:
“Des exploits qui sortent du bac à sable ont déjà été démontrés pour Internet Explorer, Java, Google Android et bien sûr le navigateur Chrome (pour n'en citer que quelques-uns), tandis que le bac à sable Google est efficace, il n'est pas impénétrable et repose sur pour 100% de sécurité serait à courte vue.”
Le pire contrevenant ici est le Web interactif, en particulier WebGL, une implémentation de OpenGL (une bibliothèque graphique commune) destinée à être utilisée dans les navigateurs Web. WebGL vous permet de lancer des démos 3D graphiquement impressionnantes à partir de votre navigateur, ce qui est vraiment cool (comme dans ces exemples), mais malheureusement, c'est aussi un cauchemar pour la sécurité. WebGL permet aux applications Web d'envoyer des instructions arbitraires à la carte vidéo de la machine, ce qui permet à tout un arc-en-ciel imaginatif d'exploiter des exploits visant à détruire le bac à sable. La position officielle de Microsoft est que WebGL est trop peu sûr pour un usage interne:
“La sécurité de WebGL dans son ensemble dépend des niveaux inférieurs du système, y compris des pilotes OEM, qui maintiennent des garanties de sécurité dont ils n'ont jamais vraiment besoin de s'inquiéter. Les attaques qui pouvaient auparavant entraîner uniquement une élévation de privilèges au niveau local peuvent désormais entraîner une compromission à distance. Bien qu'il soit possible d'atténuer ces risques dans une certaine mesure, la grande surface d'attaque exposée par WebGL reste préoccupante. Nous nous attendons à voir des bugs qui n'existent que sur certaines plates-formes ou avec certaines cartes vidéo, potentiellement facilitant des attaques ciblées.”
Vous ne pouvez pas faire confiance au nuage
La nature même de la plate-forme est encore pire que de possibles menaces contre le bac à sable. Les Chromebooks, par leur conception, dépendent fortement du nuage. Si vous détruisez accidentellement votre Chromebook (par exemple en le piétinant ou en le laissant tomber dans un lac de roches en fusion), vos données ne sont pas parties. Vous pouvez simplement en acheter un nouveau, vous connecter et récupérer toutes vos données et paramètres..
Malheureusement, cela expose les utilisateurs à des risques considérables du côté nuage de l'équation. Sean Gallagher d'Ars Technica souligne dans son éditorial “Pourquoi la NSA aime le Chromebook de Google,” nous savons que la NSA a (et peut encore avoir) des portes dérobées envahissantes dans le stockage en nuage de Google, et peut l'utiliser pour espionner tous les fichiers des utilisateurs de Drive, y compris ceux utilisant des Chromebooks. Comme le dit Gallagher,
“Rien de tout cela n'est nécessairement la faute de Google. Mais c'est une faiblesse du navigateur en tant que plate-forme: en poussant presque toutes les ressources informatiques pour les applications, en plus de la présentation, de la sauvegarde dans le cloud, le modèle Chromebook crée un guichet unique pour les attaquants ou les observateurs qui souhaitent s'injecter dans votre monde informatique..”
Ce n'est pas seulement la NSA, non plus. Bien que le chargeur de démarrage approuvé puisse vous protéger contre les modifications persistantes et malveillantes du système d'exploitation qui rendent compte de vos actes, même une simple violation de la sécurité par une application Web pourrait suffire à voler vos clés et vos informations d'authentification, qu'un attaquant pourrait ensuite utiliser pour accéder à vos données. vos données en nuage et parcourez-les à votre guise.
Les applications natives sont à venir
Pour aggraver les choses, le bac à sable de ChromeOS n’est pas un paradigme particulièrement pur: les extensions de navigateur qui s’exécutent au-dessus des pages Web, telles que Adblock Plus et Google Translate, sont du code natif qui s’exécute sur la machine et peuvent faire toutes sortes de choses désagréables ( y compris l'affichage des logiciels publicitaires et l'espionnage de vos mots de passe). Il existe même des extensions téléchargeables qui détectent et suppriment d'autres extensions malveillantes - une forme du logiciel antivirus dont ChromeOS n'est pas censé avoir besoin. Au crédit de Google, ChromeOS installera uniquement les applications du magasin d'extension Chrome ayant déjà suivi le processus d'approbation de Google. Malheureusement, ce processus de vérification repose sur le jugement humain et les garanties fournies par cette vérification sont beaucoup plus faibles que celles fournies par un bon bac à sable..
La situation empire: Google prévoit d'implémenter des applications natives sous la forme d'applications Android, exécutées dans ChromeOS via une couche d'interface. Il s’agit d’applications natives qui posent de nombreux problèmes de sécurité à ChromeOS. Ces problèmes de sécurité sont aggravés par la vulnérabilité relative du cloud au vol de clés. Les infractions sont plus graves lorsqu'elles sont invisibles et persistantes.
Maintenant, bien sûr, toutes les applications Android autorisées sur ChromeOS seront vraisemblablement examinées avec soin par l'équipe de Google pour recherche de code malveillant, mais ce n'est tout simplement pas une garantie suffisante pour garantir la sécurité de la machine. Même si le code n'est pas malveillant, ils viendront certainement avec leurs propres exploits et vulnérabilités qui pourraient être utilisés pour accéder au système d'exploitation. Le code natif est dangereux et enfreint les principes de sécurité destinés à protéger ChromeOS..
ChromeOS: sécurisé, mais des préoccupations existent
Cela vaut la peine de prendre un moment pour rappeler que ChromeOS est très garantir. Si vous utilisez Windows, Linux ou OSX, ChromeOS est plus sécurisé que jamais. En fait, c'est le cas pour pratiquement tous les systèmes d'exploitation, à l'exception de Plan 9, un système d'exploitation hyper-sécurisé si obscur qu'il évite les logiciels malveillants, du moins en partie, en ne disposant d'aucun «logiciel» à proprement parler. Cependant, ne prenez pas cela comme une excuse pour faire preuve de négligence: de graves problèmes de sécurité concernant ChromeOS persistent, et il est bon de les garder à l’esprit quand vous faites confiance à votre ordinateur avec des informations sensibles.
Crédits images: Hacker avec un ordinateur portable via Shutterstock, “Épinglette en chrome” par Stephen Shankland, “Chromebook“, par slgckgc, “Test de photos du Chromebook“, par ?? ?, “Kryha-Chiffriermaschine, Kryha-Encryption Device“, par Ryan Somma