Chrome a un problème de sécurité – voici comment Google le résout

Hibou Gourou
Icône Google Chrome dans le dock mac.
PixieMe / Shutterstock

Google cherche à devancer les vulnérabilités de haute gravité sur son navigateur Chrome en raccourcissant le délai entre les mises à jour de sécurité.

La marque espère que des mises à jour plus fréquentes donneront moins de temps aux mauvais acteurs pour accéder et exploiter les failles n-day et zero-day trouvées dans le code du navigateur Chrome.

Depuis mercredi, la marque a déployé Google Chrome 116, qui inclut le nouveau calendrier. Auparavant une mise à jour bihebdomadaire, Chrome bénéficiera désormais de mises à jour de sécurité hebdomadaires.

Avec la nature open-source de Chromium, n'importe qui peut accéder au code source du navigateur Chrome, "soumettre des modifications pour examen et voir les modifications apportées par n'importe qui d'autre, même les corrections de bogues de sécurité", a déclaré Google sur son blog de sécurité .

En règle générale, les membres de la communauté des canaux Canary et Beta de Google informent la marque de divers problèmes de stabilité, de compatibilité ou de performances qui peuvent être résolus avant que des mises à jour stables ne soient envoyées au public. Cette ouverture est à double tranchant ; cependant, les acteurs malveillants ont le même accès que les utilisateurs de bonne foi, ce qui leur permet d'obtenir des détails en temps réel sur les vulnérabilités avant que les mises à jour ne soient déployées auprès d'un large éventail d'utilisateurs publics. Si elle est exploitée, une telle attaque est appelée exploitation n-day.

C'est pourquoi Google espère que le raccourcissement du délai entre les mises à jour de sécurité pourra aider à dissuader les utilisateurs malveillants d'obtenir des informations sur les vulnérabilités du code Chromium. Habituellement, le temps entre les mises à jour de sécurité est utilisé pour les tests avant une publication publique. Google a observé pour la première fois qu'il s'agissait d'un problème en 2020 lorsque son écart de correctifs entre les mises à jour était d'environ 35 jours. Il est ensuite passé à un calendrier de mise à jour bihebdomadaire avec la sortie de Chrome 77.

La marque a noté que ce dernier calendrier ne dissuadera toujours pas tous les exploits de n jours, mais peut les minimiser davantage. En pratique, des mises à jour de sécurité plus fréquentes offrent moins de temps aux acteurs malveillants pour exploiter les failles qui nécessitent des chemins détaillés et plus de temps de développement. Au fil du temps, il est également probable que les mauvais acteurs trouvent des moyens de créer des exploits plus rapides.

Il est également possible que la fréquence des mises à jour de sécurité diminue encore davantage, les correctifs étant déployés dès qu'ils sont disponibles.

Google a déclaré qu'il s'attaquait désormais à "tous les bogues critiques et de gravité élevée comme s'ils allaient être exploités".

Malgré cela, la marque en est venue à considérer les exploits n-day aussi dangereux que les exploits zero-day , qui sont des vulnérabilités qui étaient auparavant inconnues et donc non résolues par un correctif ou une mise à jour.

Google a également annoncé récemment son intention d'activer une prise en charge distincte du navigateur Chrome pour ChromeOS à partir de la version ChromeOS 116. Cette mise à jour profiterait particulièrement aux Chromebooks, prolongeant les netbooks bien plus longtemps que leur durée de vie logicielle typique. La sortie de ChromeOS 116 est prévue pour le 22 août.