À moyen-terme, Google devrait revoir sa politique de gestion des plug-ins pour Chrome. Le géant de Mountain View souhaite intégrer un dispositif permettant de désactiver les plug-ins obsolètes. De cette façon, les failles potentielles ne seraient plus exploitables par une page spécialement conçue pour l'occasion.

C’est une mesure radicale, mais sans doute nécessaire. Dans un billet de blog publié en début de semaine, les responsables de la sécurité de Google Chrome ont indiqué que le navigateur de la firme allait intégrer à « moyen-terme » un dispositif de détection des plug-ins obsolètes, dans le but de les bloquer. Objectif annoncé : renforcer la sécurité et la stabilité du navigateur.

En effet, si les plug-ins sont destinés à enrichir le navigateur avec de nouvelles possibilités, elles sont également autant de moyens potentiels permettant à un internaute malveillant ou un à bout de code malicieux d’accéder au navigateur, voire à l’ordinateur.

Dans ces conditions, il est difficile pour les éditeurs de proposer des navigateurs très fiables. C’est pour cette raison que Mozilla a entrepris une démarche similaire, mais plus souple, en avertissant l’utilisateur en cas d’un plug-in obsolète. Avec l’espoir bien compréhensible de limiter les risques pour l’internaute.

« Depuis que de nombreux plug-ins sont omniprésents, ils posent un risque significatif pour nos utilisateurs. Pour renforcer la protection des utilisateurs de Google Chrome des menaces ou des failles, nous avons entrepris un certain nombre d’initiatives » ont rappelé les ingénieurs.

On notera d’ailleurs qu’au dernier concours Pwn2Own, Chrome fut le seul à ne pas tomber sous les assauts des hackers. Plus exactement, les participants n’ont pas souhaité s’y attaquer, car faire tomber le navigateur web de Google aurait pris beaucoup trop de temps. Car si Chrome a bien des failles exploitables, encore faut-il pouvoir les atteindre.

Et en l’occurrence, plusieurs barrières sont justement présentes pour limiter au maximum la casse, comme la présence du mode « bac à sable » (sandbox) qui empêche les pages web d’accéder au système d’exploitation du poste informatique. Cependant, il faut rappeler que la portée d’un concours tel que Pwn2Own est à relativiser, puisqu’il est loin d’être un « benchmark » fiable en matière de sécurité. Et pour cause, les participants sont avant tout des pointures du milieu, pas de simples quidams barbouillant une page d’un code malicieux.

Mais au final, les mesures mises en œuvre par Google sont autant de nouvelles protections pour l’utilisateur. Qui s’en plaindrait ?

Partager sur les réseaux sociaux

Articles liés