Le monde se remet peine des dgts causs par la mise jour dfectueuse de CrowdStrike que Google livre son tour une mise jour problmatique qui a empch des millions d’utilisateurs d’accder leurs mots de passe sauvegards dans Chrome. Une estimation indique que le bogue a affect quelque 15 millions d’utilisateurs de Windows dans le monde. Leurs mots de passe ont disparu pendant 18 heures entre les 24 et 25 juillet. Google s’est excus, expliquant que le bogue tait li « un changement de comportement du produit sans garde-fou appropri ». Une explication qui peut sembler familire tous ceux qui ont t pris dans la panne de CrowdStrike.
Un bogue dans Chrome prive des millions d’utilisateurs de leurs mots de passe
Le dsagrment caus par Google aux utilisateurs de Chrome sous Windows est pass presque inaperu en raison de l’attention porte la panne mondiale provoque par CrowdStrike. Google a d ajouter son lot de stress aux utilisateurs de Windows dj svrement impacts par la mise jour dfectueuse de CrowdStrike. Le problme de disparition des mots de passe a affect les utilisateurs du navigateur Web Chrome dans le monde entier, les empchant de retrouver les mots de passe dj enregistrs l’aide du gestionnaire de mots de passe de Chrome. L’application a cess de fonctionner et a ralenti les utilisateurs.
Le bogue spcifique affectant les utilisateurs de Windows concernait le gestionnaire de mots de passe de Chrome. Il a provoqu une grande frustration, certains utilisateurs ayant rapport qu’ils n’ont pas t en mesure d’accder de nombreux sites qu’ils utilisent quotidiennement, car ils avaient perdu leurs mots de passe alambiqus sauvegards dans Chrome. Les mots de passe nouvellement enregistrs sont galement devenus invisibles pour les utilisateurs concerns. Google, qui a maintenant rsolu le problme, a dclar que le problme tait limit la version M127 du navigateur Chrome sur la plateforme Windows.
Dans un premier temps, Google a propos une solution de contournement, mais la plupart des utilisateurs finaux ne se sentiraient pas l’aise de la mettre en uvre, car elle impliquait de lancer le navigateur l’aide d’un drapeau de ligne de commande. Google a maintenant dploy un correctif et les utilisateurs affects n’auront qu’ redmarrer leur navigateur, mais il a fallu tout de mme 18 heures au gant de la recherche pour rsoudre le problme.
Il est difficile de dterminer avec prcision le nombre d’utilisateurs touchs par le bogue. Toutefois, en partant du principe qu’il y a plus de 3 milliards d’utilisateurs de Chrome et que les utilisateurs de Windows reprsentent la grande majorit d’entre eux, il est possible d’estimer ce nombre. Google a dclar que 25 % de la base d’utilisateurs a vu le changement de configuration dploy, ce qui reprsente environ 750 millions d’utilisateurs.
Parmi eux, environ 2 % ont t touchs par le bogue. Cela signifie qu’environ 15 millions d’utilisateurs ont vu leurs mots de passe se volatiliser. Google a prsent ses excuses ses clients en dclarant : nous nous excusons pour la gne occasionne par cette interruption de service . Selon Google, les utilisateurs de Chrome dont l’impact va au-del de ce qui a t expliqu doivent contacter le service d’assistance de Google Workspace.
Google est galement confront d’autres problmes en matire de scurit
Chrome M127 a t publie pour corriger un total de 24 problmes de scurit, mais le bogue du gestionnaire de mots de passe n’en faisait pas partie. Cet incident illustre une qu’il est plus sr de conserver une application ddie la gestion des mots de passe d’un point de vue strictement scuritaire. Bien qu’une solution base dans un navigateur facilite l’utilisation, il n’est jamais bon de mettre tous ses ufs dans le mme panier lorsque les choses tournent mal.
Par ailleurs, selon le journaliste spcialis en cyberscurit Brian Krebs, les mots de passe ne sont pas la seule chose que les utilisateurs de Google ont vue disparatre rcemment : la vrification de l’e-mail lors de la cration d’un nouveau compte Google Workspace a galement disparu pour certains utilisateurs. Ce bogue d’authentification permettait de mauvais acteurs de contourner la vrification de l’adresse lectronique requise pour crer un compte Google Workspace.
Selon Krebs, cela leur permettait d’usurper l’identit d’un dtenteur de domaine auprs de services tiers. Cette usurpation d’identit permettait cette personne de se connecter des services tiers, y compris un compte Dropbox. Le bogue semble tre li aux essais gratuits proposs par Google Workspace, qui permettent d’accder des services comme Google Docs, par exemple. En revanche, Gmail n’est accessible qu’aux utilisateurs existants qui peuvent valider leur contrle sur le nom de domaine associ. C’est du moins ce qui aurait d se produire.
Au lieu de cela, il semble qu’un pirate puisse contourner entirement le processus de validation. Anu Yamunan, directeur des protections contre les abus et la scurit chez Google Workspace, a dclar Krebs que quelques milliers de comptes non vrifis par le nom de domaine avaient t crs avant l’application du correctif. Un correctif, il faut le prciser, qui a t appliqu dans les 72 heures suivant le signalement de la vulnrabilit. Il est entendu qu’aucun des domaines n’tait auparavant associ des comptes ou des services Workspace.
La tactique consistait crer une demande spcifiquement construite par un acteur malveillant pour contourner la vrification de l’adresse lectronique au cours du processus d’inscription , a dclar Yamunan. Bien que le bogue dans Chrome ait affect des millions d’utilisateurs, les dgts semblent moindres par rapport la panne de CrowdStrike. Mais un utilisateur met en garde :
L’influence de Chrome est plus importante que celle de Crowdstrike. Ce n’est qu’une question de temps avant qu’une mise jour « on s’est plant » n’arrive sur Chrome. Probablement parce qu’un conflit avec leur code drm/anti-adblock tourne mal et que de faux positifs corrompent tout le navigateur. J’ai dj d faire face Firefox qui s’est cass la figure avec la panne des extensions ; la panne de Chrome aura un impact sur beaucoup plus de gens. Chrome est de facto le point central de dfaillance sur le Web, et il suffira d’un point-virgule manquant quelque part pour tout gcher .
Google et CrowdStrike ne sont qu’un aperu d’un problme plus critique
La panne mondiale provoque par CrowdStrike a mis en lumire la vulnrabilit du secteur de la cyberscurit. Une mise jour dfectueuse du logiciel Falcon Sensor de CrowdStrike a entran des plantages massifs dordinateurs Windows dans le monde entier. Microsoft a estim 8,5 millions le nombre de machines affectes, la panne ayant entran l’annulation de milliers de vols sur plusieurs jours, l’interruption du service dans certains hpitaux, etc. L’incident souligne les problmes majeurs de notre infrastructure informatique. Dautres entreprises du mme modle commercial pourraient galement tre touches.
Tired of clicking Forgot password?
Use Google Password Manager to securely access passwords across iOS, Android and desktop. pic.twitter.com/02ERJtEpTN
— Chrome (@googlechrome) July 2, 2024
Selon le site de site Web de CrowdStrike, il faut en moyenne 62 minutes un acteur de la menace pour faire tomber votre entreprise. Pourtant, CrowdStrike, la socit charge de protger des dizaines de milliers de clients contre les pirates informatiques, a russi faire tomber une grande partie des entreprises mondiales en diffusant une mise jour dfectueuse. Selon Parametrix, la panne pourrait avoir cot aux entreprises Fortune 500 jusqu’ 5,4 milliards de dollars de revenus et de bnfices bruts, sans compter les pertes secondaires qui peuvent tre attribues la perte de productivit ou l’atteinte la rputation.
Fitch Ratings, l’une des plus grandes agences de notation amricaines, a dclar : Cet incident met en vidence le risque croissant de points de dfaillance uniques . L’entreprise a averti que ces points de dfaillance uniques sont susceptibles d’augmenter au fur et mesure que les entreprises cherchent se consolider pour tirer parti de l’chelle et de l’expertise, ce qui se traduit par un nombre rduit de fournisseurs dtenant des parts de march plus importantes. Selon les experts, il est important de tirer des leons de cet incident, qui pourrait exacerber les craintes lies la concentration dans le secteur de la cyberscurit.
SecurityScorecard indique que 15 entreprises seulement dans le monde reprsentent 62 % du march des produits et services de cyberscurit. Et selon l’IDC, dans le domaine de la scurit des terminaux modernes, qui consiste scuriser les PC, les ordinateurs portables et d’autres appareils, le problme est pire : trois entreprises, dont Microsoft et CrowdStrike sont de loin les plus importantes, contrlaient la moiti du march l’anne dernire.
Le monde est aujourd’hui confront une prise de conscience trs importante et terrifiante : de nombreuses personnes en charge de nos systmes numriques mondiaux dpendent d’un seul fournisseur de logiciels comme point de dfaillance (une estimation suggre que CrowdStrike reprsente 24 % du march de la scurit), et lorsque ce fournisseur lui-mme commet une erreur, nous sommes tous amens en subir les consquences.
Ironiquement, quelques heures avant la diffusion de sa mise jour dfectueuse, CrowdStrike a publi un rapport indiquant ceci : les entreprises omettent la moiti du temps d’valuer la scurit des principales mises jour des applications logicielles, car cela est compliqu, coteux et prend du temps . La panne gigantesque que CrowdStrike a provoque dmontre l’importance de la vrification des mises avant leur dploiement dans la nature.
Sources : Google, billet de blogue
Et vous ?
Quel est votre avis sur le sujet ?
Avez-vous t touch par le bogue li au gestionnaire de mots de passe de Chrome ? Si oui, partagez votre exprience.
Selon vous, comment les utilisateurs peuvent-ils viter d’tre bloqus par tels bogues l’avenir ?
Partagez-vous l’avis selon lequel le navigateur Chrome est le point central de dfaillance sur le Web ?
Que pensez-vous de la vulnrabilit du secteur de la cyberscurit dans son ensemble ? Comment le rendre plus rsilient ?
Voir aussi