Google Chrome 79 met l'accent sur la sécurité
Google a publié mardi une mise à jour de son navigateur Chrome avec une série de nouvelles fonctionnalités qui pèsent lourdement sur la sécurité.
La version 79.0.3945.79 de Chrome comporte 51 corrections de sécurité. Il offre une protection par mot de passe améliorée par rapport aux versions précédentes, une protection contre le phishing en temps réel et des outils de phishing prédictifs.
Cinquante et un correctifs de sécurité, c'est beaucoup par rapport aux versions précédentes de Chrome, et cela montre que Google reconnaît les problèmes et a pris des mesures pour les résoudre, a noté James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4.
Les utilisateurs ayant plusieurs profils Chrome verront une nouvelle représentation visuelle du profil actuellement utilisé afin qu'ils puissent enregistrer leurs mots de passe dans le bon profil. Cela ne modifie pas leurs paramètres de synchronisation actuels.
Le menu de profil permet de changer plus facilement et montre clairement si un utilisateur est connecté à Chrome.
Chrome 79 dispose également d'un gel des onglets, qui réduit la consommation de CPU et de RAM et économise la batterie, et peut mettre en cache les historiques Précédent et Suivant pour un chargement plus rapide des sites.
Parmi les nouvelles fonctionnalités destinées aux développeurs, citons les icônes masquables, Web XR, les nouveaux essais d'origine et Wake Lock.
Lorsque les utilisateurs saisissent leurs informations d'identification sur un site Web, Chrome 79 émet un avertissement en cas de vol. Il s'agit d'une évolution de la vérification du mot de passe dans les comptes Google des utilisateurs, qui peut être contrôlée dans les paramètres de Chrome.
Le navigateur offre une protection contre le phishing en temps réel sur le bureau des utilisateurs, ainsi qu'une protection contre le phishing prédictif améliorée, qui avertit les utilisateurs de Chrome lorsqu'ils saisissent le mot de passe de leur compte Google sur un site soupçonné de phishing, même s'ils n'ont pas activé la synchronisation.
La protection contre le phishing prédictif fonctionne pour tous les mots de passe stockés dans le gestionnaire de mots de passe de Chrome.
" Certains programmes commerciaux de gestion des mots de passe payants ont des fonctions intégrées de surveillance des mots de passe ", a déclaré M. McQuiggan. "Google le fournit gratuitement à ses utilisateurs finaux s'ils souhaitent stocker leurs mots de passe avec eux."
On se dépêche de rattraper le retard
Des caractéristiques telles que l'hameçonnage prédictif " sont aujourd'hui des enjeux de table ", a fait remarquer Liz Miller, analyste principale chez Constellation Research.
" Google a été largement critiqué pendant plus de deux ans, presque depuis la dernière mise à jour du NIST 800-171 en 2017, pour de multiples cas de non-conformité - des limitations de tentatives de connexion à la réutilisation des mots de passe ou aux normes de complexité ", a déclaré Liz Miller à TechNewsWorld. "Donc ils ont joué à rattraper leur retard."
De plus, le NIST exige maintenant de vérifier les nouveaux mots de passe par rapport à des listes communes ou connues qui peuvent inclure des mots de passe de sites violés comme Ashley Madison, de sites de médias sociaux comme LinkedIn, et de décharges.
Permettre aux consommateurs de savoir si leurs informations privées ont été compromises par une violation de données est une fonctionnalité que Mozilla propose depuis longtemps avec son Firefox Monitor.
Le vrai problème
Un problème plus important est que, pendant que Google rattrape son retard, " des domaines comme le quantique ont innové et progressé ", a noté M. Miller de Constellation.Les normes qui étaient autrefois considérées comme suffisamment avancées " quand la réalité du crackage du cryptage quantique est à portée de main ", s'est-elle demandé.
" Il ne s'agit pas seulement de mots de passe, mais aussi de protection des données ", a déclaré Steve Wilson, analyste principal chez Constellation Research.
" Si les navigateurs avaient accès aux puces physiques de la plate-forme informatique et aux clés intégrées, nous pourrions alors commencer à signer numériquement toutes les transactions de routine du commerce électronique afin de prévenir la fraude par carte et le vol d'identité ", a-t-il déclaré à TechNewsWorld. "L'accent mis sur les mots de passe en soi limite en fait la visibilité d'un problème d'authenticité plus important."
Based on replies, there seems to be a lot of misunderstanding to this announcement. When an email/password breach occurs on ANY site, leaked credentials are added to existing public breach databases. What Google is doing here is a net win for users (and btw NIST recommended). 1/2 https://t.co/kHOFAFVVOb— Kenn White (@kennwhite) December 11, 2019
De plus, la vérification des mots de passe dans le système d'exploitation n'est pas nécessairement une bonne idée, a remarqué Wilson.
"Certains sites n'ont pas besoin ou ne méritent pas de grands mots de passe", a-t-il expliqué. " C'est en fait un mystère pour moi de savoir pourquoi tant de petits sites médiatiques idiots vous forcent à utiliser un mot de passe. Si un site n'a pas vraiment besoin de savoir qui vous êtes, alors pourquoi ne pas utiliser un faux nom, une fausse date de naissance, et un "mot de passe" comme mot de passe ?"
L'utilisation d'adresses de courriel gratuites "jouet" comme identificateurs est "une belle façon de protéger votre vie privée", a dit M. Wilson, "mais si le navigateur commence soudainement à forcer les gens à utiliser des mots de passe sérieux pour chaque compte, alors cela crée un nouveau type de problème. Cela exacerbe la fatigue des mots de passe, et cela compromet le soin que les gens mettent dans leurs comptes de grande valeur."
Ces Humains Susceptibles !
"La technologie peut arrêter beaucoup de tentatives [d'hameçonnage], mais les criminels font évoluer leurs types d'attaques ", a observé McQuiggan de KnowBe4. "La technologie n'est qu'une partie de l'environnement à protéger contre le phishing, le pare-feu humain est l'autre."
Les nouvelles fonctionnalités de Chrome 79 ne seront efficaces que si l'utilisateur choisit de s'y conformer et de donner la priorité à la sécurité, a déclaré M. Miller de Constellation.
Combien de fois les gens ignorent-ils l'avertissement SSL expiré et choisissent-ils des "paramètres avancés" pour aller sur le site Web ? Nous pouvons faire n'importe quel nombre de mises à jour, de correctifs et d'améliorations pour essayer d'amener tous les poissons dans l'eau de la sécurité", a-t-elle dit. "La question est de savoir si on peut les forcer à boire ?"