Vulnérabilité 0Day Google : la menace sur Chrome

Partager sur facebook
Partager sur linkedin
Partager sur email

Récemment encore, la vulnérabilité informatique de chacun a été prouvée via la faille 0day, dont le géant Google est victime. Cette nouvelle attaque soulève bien évidemment un certain nombre d’interrogations sur la sécurité des utilisateurs de Google, qui attendent une réaction forte et rapide de la part de l'entreprise mythique de la Silicon Valley.

La Vulnérabilité de type 0day, qu’est que c’est ?

Une attaque 0day est une vulnérabilité informatique encore relativement méconnue du grand public. Il s’agit d’une faille de sécurité qui permet aux cybercriminels d’avoir un temps d’avance sur les développeurs des outils et sites visés. Le nom 0day indique qu’au moment où la victime prend connaissance de la faille, il n’y a en général aucun correctif disponible. Le pirate a ainsi déjà pu exploiter la faille à sa guise.

Entre 2019 et 2021, on a dénombré environ 376 anomalies 0day, notamment sur des groupes tels que Microsoft, Google ou encore Apple. À ce jour, le temps moyen des éditeurs pour corriger ces anomalies est de 52 jours. À titre de comparaison, ce temps s’élevait à 80 jours il y a 3 ans. Ce délai a donc tendance à s’améliorer, bien qu’il soit encore conséquent ! 

Désormais, de nouvelles menaces et attaques émergent en quelques heures, il est donc très difficile de pouvoir les contrer. À titre d’exemple, le navigateur Google Chrome a récemment rencontré 11 bugs système dont 2 faisant partie de la menace 0day

 

La situation actuelle chez Google

Une vulnérabilité de type 0day (CVE-2022-1096) a été remontée par un chercheur en cybersécurité dans le navigateur Chrome le 28 mars dernier. Il s’agit déjà de la deuxième faille 0day maîtrisée et corrigée par Chrome en 2022. Ces derniers temps, ce navigateur fait face à un certain nombre de vulnérabilités, notamment face aux attaque 0day. En effet, pour la première faille de l’année 2022, (CVE.2022.0609), les cybercriminels ont utilisé ce qu’on appelle des failles « Use after free » sur des surfaces utilisant une version non-corrective de Chrome. 

En raison de la criticité de cette fragilité, Google a décidé de sortir un patch pour augmenter la sécurité du programme et éviter toute tentative de piratage.  Il est très rare de la part de Google de sortir des patchs aussi rapidement, ce qui montre l’importance donnée à cette menace.

Que dit Google sur cette dernière attaque ?

Officiellement, pas grand chose. À ce stade, Google a décidé de ne pas encore révéler les impacts potentiels de cette faille. 

Officieusement, l’exploitation des données se présente sous la forme d’un JavaScript dans le moteur V8 de Chrome. Ceci implique que l’ensemble des informations, notamment celles du navigateur, peuvent être enregistrées et envoyées aux hackers. Cependant, l’équipe sécurité de Chrome indique que des Proof of concept sont disponibles et qu’ils ont déjà détecté des exploitations de cette faille. 

De plus, la complexité de cette menace pour Google Chrome n’est pas encore suffisamment claire. Beaucoup de questions sur son impact réel restent en suspens. D’après les déclarations de Google, ce type de vulnérabilité peut devenir fréquente et être exploitée facilement. Une nouvelle qui ne s’annonce donc pas très réjouissante pour le futur. Il est néanmoins important de retenir que cette vulnérabilité va avoir un impact sur l’ensemble des utilisateurs du navigateur Chrome, peu importe le système d’exploitation utilisé.

Comment me protéger de cette faille ?

Pour limiter les attaques, Google a d’ores et déjà déployé un patch correctif lors de ses dernières mises à jour.  Pour savoir si votre navigateur Chrome est bien patché, il vous suffit d’aller dans le module Google, de cliquer sur les 3 petits points en haut à droite, de descendre votre curseur jusqu’à « Aide » puis « À propos de Google Chrome ». Vous aurez alors affiché sur votre écran la version actuelle de Chrome et la confirmation que ce dernier a bien été mis à jour. La version 99.0.4844.84. correspond au correctif proposé par Google. Il est également possible d’automatiser les mises à jour de Chrome dans la partie « Option » puis « Toujours activer les MAJ ».

Où me renseigner pour obtenir plus d'informations sur cette faille ?

Si les dernières avancées concernant les vulnérabilités du navigateur Chrome vous intéressent, vous pouvez vous rendre sur le site du CERT-FR. Le CERT vous donnera l’ensemble des points concernant la vulnérabilité dans Google Chrome, comme les dates de la première et dernière version de Chrome. De plus, vous y retrouverez une explication brève de l’état de la situation notamment sur le(s) risque(s), les systèmes affectés et les solutions proposées.

Plus d'informations ? Nos experts répondent à vos questions !

Digitalisez-vous maintenant !

Nos équipes vous conseillent et vous accompagnent pour faire décoller votre activité !

homme-80s-téléphone

Une question, une demande, un devis...

Contactez

Nous

Vous pouvez également nous passez un coup de fil au 09 69 39 40 60

Assistance

client