Le navigateur Google Chrome 86 corrige 35 failles de sécurité

La dernière version du navigateur de Google, Chrome 86, est en cours de déploiement et contient 35 correctifs de sécurité. Parmi les corrections de failles on retrouve une fonctionnalité qui vérifie si les utilisateurs ont des mots de passe compromis.

À partir de demain, Chrome 86 deviendra stable pour Windows, Mac et Linux et sera déployé dans les prochains jours. Les versions du navigateur pour Android et iOS ont également été distribuées et seront disponibles sur Google Play et l’App Store cette semaine.

Le navigateur contient une faille critique (CVE-2020-15967) se trouvant dans le composant de paiement de Chrome. La faille, signalée par Man Yue Mo de GitHub Security Lab, est une vulnérabilité use-after-free. Use-after-free est une faille de corruption de la mémoire où une tentative est faite d’accéder à la mémoire après qu’elle ait été libérée. Cela peut provoquer un ensemble d’impacts malveillants, allant du blocage d’un programme à l’exécution potentielle de code arbitraire.

google chrome

Plusieurs failles use-after-free ont affecté Google Chrome au cours de la dernière année. En fait, les 7 vulnérabilités de haute gravité corrigées par Google dans Chrome 86 étaient des failles use-after-free, allant de celles affectant l’impression de Chrome (CVE-2020-15971), l’audio (CVE-2020-15972), le gestionnaire de mots de passe (CVE -2020-15991) et WebRTC (CVE-2020-15969) (WebRTC est un protocole de communication Web).

Plus de détails sur les failles de sécurité ne sont pas encore disponibles, car “l’accès aux détails des vulnérabilités et aux liens peut être limité jusqu’à ce qu’une majorité d’utilisateurs soient à jour avec le correctif”, selon le communiqué de Google.

Vérification de mots de passe de Google Chrome 86

Les versions Android et iOS de Chrome 86 seront également dotées d’une nouvelle fonctionnalité de sécurité, qui enverra une copie des noms d’utilisateur et des mots de passe des utilisateurs à l’aide d’une “forme spéciale de chiffrement”. Cela permet ensuite à Google de les comparer à la liste des mots de passe qui ont été compromis.

«Les mots de passe sont souvent la première ligne de défense de nos vies numériques», a déclaré dans un article Abdel Karim Mardini, chef de produit senior chez Chrome. “Aujourd’hui, nous améliorons la sécurité des mots de passe sur les appareils Android et iOS en vous indiquant si les mots de passe que vous avez demandé à Chrome de mémoriser ont été compromis et, le cas échéant, comment les corriger.”

Au niveau du back-end, lorsque Google détecte un nom d’utilisateur et un mot de passe exposés par une violation de données, il stocke une copie fortement hachée et chiffrée des données. Ensuite, lorsque les utilisateurs de Chrome se connectent à un site Web, la fonctionnalité envoie une version fortement hachée et chiffrée de leur nom d’utilisateur et de leur mot de passe à Google – ce qui signifie que la société ne peut pas découvrir de noms d’utilisateur ou de mots de passe à partir de la copie chiffrée, a-t-il déclaré.

Google récupère ensuite la base de données chiffrée de chaque nom d’utilisateur et mot de passe «dangereux» – et partage le même préfixe de hachage anonyme des détails du compte, garantissant, a-t-il dit, que les détails du nom d’utilisateur et du mot de passe ne sont pas révélés au cours du processus.

google chrome 86

Google a déployé une itération de cette fonctionnalité en 2019, lorsqu’ils ont dévoilé l’extension Chrome Password Checkup, pour alerter les utilisateurs du navigateur Chrome des mots de passe faibles ou compromis. La société a désormais intégré cette fonctionnalité directement dans Chrome pour Android et iOS pour une meilleure facilité d’utilisation. Ils ont également ajouté la prise en charge des URL “notoires/de changement de mot de passe”, permettant à Chrome de diriger les utilisateurs directement vers le bon formulaire de “changement de mot de passe” une fois qu’ils ont été avertis que leur mot de passe a été compromis.

«Nous vous informons lorsque vous avez des mots de passe compromis sur des sites Web, mais cela peut prendre du temps d’aller chercher le formulaire approprié pour changer votre mot de passe», a déclaré Mardini.

Le problème de la réutilisation des mots de passe continue d’être un problème dans le secteur de la sécurité et a mené à une série d’attaques, notamment le bourrage d’informations d’identification. Une étude Google publiée en août 2019 – qui était en fait basée sur des données collectées à partir de l’extension Chrome Password Checkup de Google – a révélé que 1,5% (soit 316 000 utilisateurs) des connexions au site Web sur le navigateur utilisent des mots de passe déjà piratés.

La fonction de vérification des mots de passe de Google s’ajoute à d’autres services similaires, notamment Have I Been Pwned et Firefox Monitor de Mozilla, pour lutter contre les problèmes de vol de mot de passe.

Autres fonctionnalités

Chrome 86 est également livré avec une multitude d’autres fonctionnalités de sécurité, notamment Safety Check sur iOS et Android. Cette fonctionnalité est utilisée pour vérifier les mots de passe compromis, indiquer aux utilisateurs si la navigation sécurisée est activée et si la version de Chrome en cours d’exécution est mise à jour avec les dernières protections de sécurité.

Chrome 86 inclura également des avertissements sur ordinateur et Android pour alerter et avertir les utilisateurs avant de soumettre un formulaire non sécurisé intégré à une page HTTPS. De plus, le navigateur bloquera ou avertira désormais de certains téléchargements non sécurisés lancés par des pages sécurisées.

«Actuellement, ce changement affecte les types de fichiers couramment utilisés de manière abusive, mais à terme, les pages sécurisées ne pourront initier que des téléchargements sécurisés de tout type», selon Google.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x