La date limite de mise à jour de Google Chrome n’est que dans quelques heures, et ce moment critique ne peut être ignoré par ses plus de 2 milliards d’utilisateurs d’ordinateurs de bureau.
Mai a été un mois mouvementé pour Chrome, avec une série de quatre vulnérabilités zero-day et avertissements de mise à jour d’urgence suscitant une inquiétude généralisée. Le gouvernement américain a pris la mesure inhabituelle d’avertir les employés fédéraux d’installer les mises à jour d’urgence de mai ou de cesser complètement d’utiliser Chrome.
L’urgence de ces mises à jour ne peut être surestimée, et le 3 juin étant passé, le la deuxième mise à jour critique doit être appliquée avant le 6 juin.
L’urgence derrière la date limite de mise à jour de Google Chrome
Les failles de sécurité découvertes dans Google Chrome en mai ont incité Google et les autorités de cybersécurité à agir rapidement. Quatre vulnérabilités Zero Day en l’espace de dix jours constituent une situation alarmante, soulignant l’importance de maintenir les logiciels à jour. Le gouvernement américain, à travers sa Cybersecurity and Infrastructure Security Agency (CISA), a ajouté ces vulnérabilités à son catalogue Known Exploited Vulnerabilities (KEV), signifiant leur caractère critique.
La directive de la CISA obligeant les employés fédéraux à mettre à jour Chrome d’ici le 3 et le 6 juin souligne la gravité de la situation. Le fait de ne pas appliquer ces mises à jour pourrait rendre les systèmes vulnérables à l’exploitation. Compte tenu de l’utilisation généralisée de Chrome, cette directive s’étend au-delà des agences fédérales à tous les utilisateurs. La fonctionnalité de mise à jour automatique de Chrome simplifie le processus, mais les utilisateurs doivent penser à redémarrer leur navigateur pour terminer l’installation de la mise à jour.
Google tue les cookies et voici pourquoi
Bien sûr, le Mise à jour de Google Chrome la date limite de la CISA ne s’applique qu’à ceux qui travaillent dans les agences fédérales américaines.
Outre les avertissements directs du gouvernement, la communauté de la cybersécurité dans son ensemble a fait écho à la nécessité de mises à jour immédiates. Les correctifs d’urgence de Google corrigent de graves vulnérabilités qui pourraient permettre à des attaquants distants d’exécuter du code arbitraire, compromettant ainsi les systèmes des utilisateurs. Ce potentiel d’exploitation n’est pas théorique ; ces vulnérabilités sont activement utilisées dans la nature, nécessitant une action rapide de tous les utilisateurs de Chrome.
Implications des modifications des manifestes v2 et v3
Alors que les utilisateurs de Chrome se précipitent pour respecter la date limite de mise à jour de Google Chrome, un autre changement important se produit. Le 3 juin marquait le début de Suppression progressive par Google des extensions Manifest V2, laissant la place au Manifest V3 plus moderne. Ce changement a des implications considérables, en particulier pour les développeurs et les entreprises qui s’appuient sur des extensions de navigateur spécifiques. Notamment, les bloqueurs de publicités, dont dépendent de nombreux utilisateurs, sont confrontés à des défis importants pour s’adapter au nouveau système.
Manifeste V3, annoncé en 2019, vise à améliorer la sécurité et la confidentialité, mais sa mise en œuvre a été controversée. Les développeurs affirment que cela limite les fonctionnalités des extensions, en particulier celles utilisées pour le filtrage de contenu. Malgré ces inquiétudes, Google poursuit la transition, en mettant l’accent sur le cadre de sécurité amélioré de Manifest V3. Les utilisateurs doivent être conscients que même si certaines extensions peuvent être confrontées à des perturbations temporaires, l’objectif primordial est de fournir une expérience de navigation plus sécurisée.
Cette transition est un point critique pour les utilisateurs qui pourraient envisager de retarder leurs mises à jour afin d’éviter d’éventuels problèmes avec les extensions. Cependant, les risques de sécurité associés aux vulnérabilités non corrigées dépassent de loin les inconvénients liés à l’adaptation aux nouveaux cadres d’extension. Les utilisateurs doivent donner la priorité à l’application des mises à jour d’urgence pour protéger leurs systèmes contre les menaces actives.
Les récentes failles de sécurité mettent en évidence la nécessité de mises à jour
L’urgence de respecter la date limite de mise à jour de Google Chrome est encore soulignée par les récents incidents de sécurité très médiatisés. Le 3 juin, des rapports ont fait état d’un commerçant de Bitcoin perdant 1 million de dollars en raison du vol de cookies de sécurité Chrome. Cet incident impliquait un plugin malveillant qui exfiltrait les cookies de session, permettant aux attaquants de contourner les protections de connexion et d’authentification à deux facteurs. Bien que cette attaque particulière ne soit pas directement liée aux vulnérabilités du jour zéro, elle rappelle brutalement les risques posés par les logiciels obsolètes.
Les utilisateurs de Chrome doivent être vigilants sur les plugins et extensions qu’ils installent. Chaque installation comporte des risques de sécurité potentiels et les utilisateurs ne doivent télécharger des extensions qu’à partir de sources fiables. Les efforts continus de Google pour améliorer la sécurité du navigateur, y compris des initiatives telles que Device Bound Session Credentials (DBSC), visent à atténuer ces risques. DBSC, dont le déploiement est prévu prochainementliera les sessions d’authentification à des appareils spécifiques, ce qui rendra beaucoup plus difficile pour les attaquants d’exploiter les cookies volés.
Malgré ces améliorations futures, l’accent doit être mis dans l’immédiat sur la résolution des vulnérabilités actuelles. La date limite de mise à jour de Google Chrome n’est pas seulement une question de procédure ; il s’agit d’une étape critique dans la protection des données des utilisateurs et le maintien de l’intégrité des systèmes. Les conséquences d’un défaut de mise à jour peuvent être graves, comme en témoigne le récent incident de vol.
Détails techniques des vulnérabilités
Comprendre les aspects techniques des vulnérabilités menant à la date limite de mise à jour de Google Chrome peut fournir davantage d’informations sur les raisons pour lesquelles ces mises à jour sont cruciales. La première vulnérabilité, CVE-2024-4761est un problème « d’utilisation après libération » dans le composant visuel de Chrome, signalé le 9 mai. Ce type de vulnérabilité se produit lorsqu’un programme continue d’utiliser un pointeur après sa libération, ce qui entraîne une corruption potentielle du tas et permet aux attaquants de pour exécuter du code arbitraire.
La deuxième mise à jour critique résout un problème de mémoire au sein du moteur JavaScript V8 de Chrome, identifié comme CVE-2024-4762. Cette vulnérabilité « écriture hors limites » se produit lorsqu’un programme écrit des données en dehors des limites de la mémoire allouée, ce qui peut entraîner l’exécution de code ou des pannes du système. Les deux vulnérabilités sont graves et leur exploitation dans la nature met en évidence la nécessité immédiate de mises à jour.
La CISA a fourni des directives claires sur ces vulnérabilités, soulignant que les agences fédérales doivent appliquer les mesures d’atténuation ou cesser d’utiliser le logiciel concerné si les mises à jour ne sont pas possibles. Cette directive constitue un avertissement sévère à tous les utilisateurs concernant les conséquences potentielles de l’ignorance de ces mises à jour. L’application des mises à jour garantit que tous les correctifs de sécurité connus sont mis en œuvre, protégeant ainsi les systèmes contre toute exploitation.
Comment mettre à jour Chrome
Pour mettre à jour Google Chrome :
- Ouvrez Chrome : Lancez le navigateur Google Chrome sur votre ordinateur.
- Cliquez sur Plus : Dans le coin supérieur droit, cliquez sur les trois points verticaux (Plus).
- Accédez à l’aide : Dans le menu déroulant, passez la souris sur « Aide », puis cliquez sur « À propos de Google Chrome ».
- Mise à jour (si disponible) : Chrome recherchera automatiquement les mises à jour. Si une mise à jour est disponible, cliquez sur le bouton « Mettre à jour ».
- Relance : Une fois la mise à jour installée, cliquez sur le bouton « Relancer » pour redémarrer Chrome et appliquer les modifications.
Si vous ne voyez pas le bouton « Mettre à jour », cela signifie que vous utilisez déjà la dernière version de Chrome.
Crédit image en vedette: Gerd Altmann/Pixabay