Google Chrome : intouchable ?

Le colloque annuel CanSecWest dédié aux techniques de pointe de la sécurité informatique se déroulera du 7 au 9 mars 2012 à Vancouver. Un rendez-vous suivi en particulier pour son concours Pwn2Own durant lequel de nombreux spécialistes mettent à rude épreuve la sécurité de différents navigateurs et systèmes d'exploitation ; le but du jeu étant bien sûr de corrompre la stabilité des équipements testés pour accéder de manière détournée aux données de l'utilisateur.

Associé au système d'exploitation Windows 7, Google Chrome participera comme chaque année depuis 2009 au concours. Il est vrai que l'épreuve fait plutôt bonne publicité au navigateur qui pour l'instant n'a pas été pris en défaut. Mais Google semble peu satisfait de ce résultat : difficile de progresser et d'améliorer le navigateur si personne n'en soulève les incohérences.

C'est pourquoi la firme a décidé de stimuler la communauté des experts en sécurité en débloquant un million de dollars (contre 20 000 dollars en 2011). Cette somme sera partagée, partiellement ou en totalité, par ceux qui sauront découvrir des failles de sécurité exploitables depuis Google Chrome. Les gagnants, s'il y en a, seront répartis en trois catégories en fonction de leur performance et recevront une part plus ou moins importante du butin (à condition de communiquer leur trouvaille à Google) :

  • Accès aux données utilisateurs en utilisant uniquement les failles de Google Chrome : 60 000 dollars de récompense ;
  • Accès aux données utilisateurs en utilisant uniquement au moins une faille de Google Chrome associée à d'autres failles : 40 000 dollars de récompense ;
  • Accès aux données utilisateurs sans utiliser de faille de Google Chrome : 20 000 dollars de récompense.

Les gagnants pourront également repartir avec un Chromebook — ordinateur portable équipé du système d'exploitation Google Chrome OS. Le gain d'ordinateur est une tradition du concours.

Il peut paraître étonnant au premier abord que Google investisse autant dans une démarche qui pourrait mettre au jour une fragilité du navigateur. Mais la stratégie est la bonne, la disponibilité d'une grande partie du code source de Google Chrome — avec le projet Chromium — ainsi que la forte rémunération en jeu lui garantissent un audit international de qualité tout en conservant l'expertise et la disponibilité de ses ingénieurs. Il est d'ailleurs intéressant d'observer que jusqu'ici, les participants du concours proposant des systèmes propriétaires et fermés — sécurité par l'obscurité — ne se sont pas montrés suffisamment résistants face aux experts.

En savoir plus

Accès au communiqué sur le blog de Chromium
http://blog.chromium.org/2012/02/pwnium-rewards-for-exploits.html

Accès au site de l'événement CanSecWest
http://cansecwest.com/

Pierre-Éric DEVIE