Google a lancé un nouvel avertissement aux 3,2 milliards d’utilisateurs de Chrome dans le monde – ainsi qu’aux utilisateurs d’autres navigateurs basés sur Chromium, comme Microsoft Edge – pour qu’ils s’attendent à un nombre croissant d’attaques « zero-day ». Google a également expliqué pourquoi et ce que vous pouvez faire pour rester en sécurité.
Un nouveau piratage de niveau de menace élevé zéro jour a été trouvé dans Google Chrome
LIGHTROCKET VIA GETTY IMAGESÉcrire dans un nouvel article de blogAdrian Taylor de l’équipe de sécurité de Google Chrome a expliqué que les attaques zero-day (pirates qui se propagent dans la nature avant que Google ne puisse publier un correctif) augmentent de manière spectaculaire.
« Vous avez peut-être remarqué que des expressions telles que ‘l’exploit pour CVE-1234-567 existe dans la nature’ sont apparues plus souvent récemment », explique Taylor. « Bien que l’augmentation puisse sembler préoccupante au départ, il est important de comprendre la raison de cette tendance. »
Vous pouvez voir la tendance décomposée dans le graphique ci-dessous :
Les attaques zero-day sur les navigateurs s’accélèrent rapidement
Google« Si c’est parce qu’il y a beaucoup plus d’exploits dans la nature, cela pourrait indiquer une tendance inquiétante », déclare Taylor. « D’un autre côté, si nous gagnons simplement en visibilité sur l’exploitation par des attaquants, c’est en fait une bonne chose ! C’est une bonne chose car cela signifie que nous pouvons réagir en fournissant des correctifs de bogues plus rapidement à nos utilisateurs, et nous pouvons en apprendre davantage sur le fonctionnement des vrais attaquants. Alors, lequel est-ce ? C’est probablement un peu des deux.
Taylor explique que les pirates ont de plus en plus besoin d’attaques multiples pour percer les défenses de Chrome en raison du sandboxing. Il s’agit d’un mécanisme de sécurité permettant de séparer les programmes en cours d’exécution, de sorte que les attaques réussies ne peuvent pas se propager aux parties les plus vulnérables du navigateur.
Cela dit, Taylor admet la dépréciation de Adobe Flash et l’augmentation spectaculaire de la popularité de Chrome et des navigateurs basés sur Chromium sont également des facteurs clés. En bref : ils ont une cible beaucoup plus grande sur le dos.
Il y a aussi la question de la complexité avec Taylor notant qu' »il y a simplement le fait que le logiciel a des bugs [and] Les navigateurs reflètent de plus en plus la complexité des systèmes d’exploitation – donnant accès à vos périphériques, système de fichiers, rendu 3D, GPU – et plus de complexité signifie plus de bogues.
Pour sa part, Chrome accélère ses cycles de publication pour essayer de réduire le « trou de patch » entre les hacks zero-day et leurs correctifs deviennent disponibles. Taylor note qu’il est déjà passé de 35 jours dans Chrome 76 à une moyenne de 18 jours aujourd’hui avec d’autres plans pour réduire cela en cours.
Mais une grande partie du bon travail de Google face à ces attaques croissantes repose toujours sur l’utilisateur, et ici Taylor émet un avertissement. Chrome ne peut pas se protéger automatiquement. Même après l’installation d’une mise à jour, les navigateurs Chrome et Chromium doivent être redémarrés par les utilisateurs avant d’être protégés.
« Avant tout », écrit Taylor. « Si Chrome vous rappelle de mettre à jour, faites-le ! »
___
Suivez Gordon sur Facebook
En savoir plus sur Forbes
Google confirme le premier hack Zero-Day du navigateur Chrome de 2022
Google Scraps a défectueux le nouveau système de suivi du navigateur Chrome
