Le ChromeOS de Google, à première vue, est un peu touché par la sécurité du système d'exploitation. C'est probablement le système d'exploitation le plus sécurisé au monde (au prix d'une fonctionnalité limitée) Tout ce que vous devez savoir sur le passage à un Chromebook Tout ce que vous devez savoir sur le passage à un Chromebook Les Chromebooks fonctionnent avec un système d'exploitation optimisé. le Web avec seulement le navigateur Chrome et les applications Chrome .Pouvez-vous passer à un Chromebook? En savoir plus). Malheureusement, ChromeOS n'est pas une panacée et de sérieux problèmes de sécurité persistent sur la plate-forme.
D'abord, cependant, les bonnes nouvelles:
ChromeOS (le système d'exploitation Linux simplifié qui s'exécute sur les netbooks bon marché de marque Chrome Toshiba CB35-A3120 Chromebook examen et Giveaway Toshiba CB35-A3120 Chromebook examen et Giveaway Vous pouvez obtenir des Chromebooks vraiment bon marché si vous êtes bien avec un 11.6- L'affichage de pouce. Read More) a un tas de dispositifs vraiment gentils pour des utilisateurs soucieux de la sécurité. Le code de chargement est stocké dans une mémoire en lecture seule et vérifie la signature numérique du noyau du système d'exploitation avant le démarrage (la fonction "vérification du démarrage"). Parce que le chargeur de démarrage est en ROM, les pirates ne peuvent pas le modifier sans altérer physiquement la puce. Si les fichiers système échouent, le bootloader réinitialisera simplement l'ensemble de la machine aux paramètres d'usine, détruisant tout code malveillant qui aurait pu être inséré.
La sécurité de la plate-forme est renforcée car elle repose sur des applications Web exécutées dans un bac à sable: leurs threads et leur mémoire sont séparés, empêchant théoriquement une application Web malveillante d'accéder à des informations ou de prendre le contrôle d'autres applications. Les mises à jour du système contenant des correctifs de sécurité sont appliquées automatiquement et de manière invisible lorsque l'ordinateur est connecté au réseau, afin que les Chromebooks soient toujours à jour. Il ya même quelques options de sécurité Sécuriser votre Chromebook avec deux Tweaks faciles Sécuriser votre Chromebook avec deux Tweaks faciles Un des avantages les plus vanté d'un Chromebook est sa sécurité. Mais y a-t-il des mesures que les propriétaires peuvent prendre pour améliorer et améliorer le niveau actuel de protection? En savoir plus vous pouvez activer pour protéger l'appareil contre les attaquants avec un accès physique à l'appareil. Essayer d'obtenir des logiciels malveillants sur une machine ChromeOS n'est pas une tâche enviable. Vous pouvez en savoir plus sur la sécurité de la plateforme ChromeOS ici.
Donc quel est le problème?
Vous ne pouvez pas faire confiance au bac à sable
Malheureusement, la sécurité offerte par le web sandboxing est largement informelle et non prouvée. Beaucoup de bacs à sable, y compris Java, ont découvert des bogues qui permettaient aux applications d'en sortir et d'exécuter des instructions arbitraires sur la machine. Chrome lui-même a eu des attaques de bac à sable démontrées contre lui par des hackers au chapeau noir. Ces exploits spécifiques sont maintenant corrigés, mais il n'y a aucune garantie qu'il n'y en a pas plus. Rik Ferguson, un chercheur en sécurité, le dit comme ceci:
"Les exploits qui sortent du sandbox ont déjà été démontrés pour Internet Explorer, pour Java, pour Google Android et bien sûr pour le navigateur Chrome (pour n'en citer que quelques uns), alors que le sandbox Google est efficace, il n'est pas impénétrable sur lui pour 100 pour cent de sécurité serait à courte vue. "
Le pire contrevenant ici est le web interactif, en particulier webGL, une implémentation d'OpenGL (une bibliothèque graphique commune) destinée à être utilisée dans les navigateurs web. WebGL vous permet d'exécuter des démos 3D impressionnantes graphiquement à partir de votre navigateur, ce qui est vraiment cool (comme ces exemples), mais, malheureusement, c'est aussi un cauchemar pour la sécurité. WebGL permet aux applications web d'envoyer des instructions de shader arbitraires à la carte vidéo de la machine, ce qui permet à un arc-en-ciel imaginatif d'éventuels exploits de sandbox. La position officielle de Microsoft est que webGL est trop peu sécurisé pour un usage interne:
« La sécurité de WebGL dans son ensemble dépend des niveaux inférieurs du système, y compris des pilotes OEM, qui garantissent des garanties de sécurité dont ils n'ont jamais vraiment besoin avant. Les attaques qui peuvent avoir abouti auparavant à une élévation locale des privilèges peuvent maintenant entraîner un compromis à distance. Bien qu'il soit possible d'atténuer ces risques dans une certaine mesure, la grande surface d'attaque exposée par WebGL demeure préoccupante. Nous nous attendons à voir des bogues qui n'existent que sur certaines plates-formes ou avec certaines cartes vidéo, ce qui pourrait faciliter les attaques ciblées. "
Vous ne pouvez pas faire confiance au Cloud
Cependant, même pire que les menaces possibles contre le bac à sable, c'est la nature même de la plate-forme. Les Chromebooks, de par leur conception, dépendent fortement du cloud. Si vous détruisez accidentellement votre Chromebook (par exemple, en marchant dessus ou en le laissant tomber dans un lac de roches en fusion), vos données ne sont pas perdues. Vous pouvez en acheter un nouveau, vous connecter et récupérer toutes vos données et paramètres.
Malheureusement, cela expose les utilisateurs à des risques considérables du côté du nuage de l'équation. Sean Gallagher d'Ars Technica souligne dans son éditorial "Pourquoi la NSA aime Google Chromebook", nous savons que la NSA a eu (et peut-être encore) des backdoors envahissantes dans le stockage en nuage de Google, et peut l'utiliser pour espionner tous les fichiers des utilisateurs de Drive, y compris ceux qui utilisent des Chromebooks. Comme le dit Gallagher,
"Rien de tout cela n'est nécessairement la faute de Google. Mais c'est une faiblesse du navigateur en tant que plate-forme - en poussant presque toutes les ressources informatiques pour les applications, en plus de la présentation, dans le nuage, le modèle Chromebook crée un guichet unique pour les pirates ou les observateurs de s'injecter dans votre monde informatique. "
Ce n'est pas seulement la NSA, non plus. Bien que le chargeur de démarrage fiable puisse vous protéger des modifications persistantes et malveillantes du système d'exploitation qui signalent vos actions, une seule violation de sécurité par une application Web pourrait suffire à dérober vos clés et vos informations d'authentification, qu'un attaquant pourrait alors utiliser pour accéder vos données de cloud et naviguez-les à loisir.
Les applications natives arrivent
Pour empirer les choses, le sandbox de ChromeOS n'est pas un paradigme particulièrement pur: les extensions de navigateur qui courent sur les pages Web, comme Adblock Plus et Google Translate, fonctionnent en code natif et peuvent faire toutes sortes de choses désagréables ( y compris l'affichage d'adware et d'espionnage sur vos mots de passe). Il existe même des extensions que vous pouvez télécharger pour détecter et supprimer d'autres extensions malveillantes - une forme de logiciel anti-virus dont ChromeOS n'est pas censé avoir besoin. Au crédit de Google, ChromeOS installera uniquement les applications du magasin d'extension Chrome qui ont déjà été approuvées par Google. Malheureusement, ce processus de vérification repose sur le jugement humain, et les garanties fournies par ce contrôle sont beaucoup plus faibles que celles fournies par un bon bac à sable.
Cela devient pire: Google prévoit de mettre en œuvre des applications natives sous la forme d'applications Android, exécutées dans ChromeOS via une couche d'interface. Il s'agit d'applications natives qui présentent toute une gamme de problèmes de sécurité à ChromeOS, et ces problèmes de sécurité sont aggravés par la vulnérabilité relative du cloud au vol de clés. Les violations sont plus graves lorsqu'elles sont invisibles et persistantes.
Maintenant, bien sûr, toutes les applications Android autorisées sur ChromeOS seront probablement soigneusement examinées par l'équipe de Google pour le code malveillant, mais ce n'est tout simplement pas une garantie suffisante pour accrocher la sécurité de la machine. Même si le code n'est pas malveillant, ils viendront certainement avec leurs propres exploits et vulnérabilités qui pourraient être utilisés pour accéder au système d'exploitation. Le code natif est dangereux et enfreint les principes de sécurité visant à protéger ChromeOS.
ChromeOS: sécurisé, mais les problèmes existent
Cela vaut la peine de prendre un moment pour rappeler que ChromeOS est très sécurisé. Si vous utilisez Windows, Linux ou OSX, ChromeOS est plus sécurisé. En fait, c'est vrai de tous les systèmes d'exploitation sauf Plan 9, un système d'exploitation hyper-sécurisé tellement obscur qu'il évite au moins partiellement les malwares en n'ayant pas de «ware» à proprement parler. Cependant, ne prenez pas cela comme une excuse pour être négligent: de sérieux problèmes de sécurité concernant ChromeOS subsistent, et il vaut la peine d'en tenir compte lorsque vous faites confiance à votre ordinateur avec des informations sensibles.
Crédits image: Hacker avec un ordinateur portable Via Shutterstock, "Chrome Lapel Pin" par Stephen Shankland, "Chromebook", par slgckgc, "Chromebook foto test", par ?? ?, "Kryha-Chiffriermaschine, Kryha-Encryption Device", par Ryan Somma