Chrome élargit le périmètre de son Safe Browsing sur macOS
You shall not pass !
Le 06 mars 2017 à 08h00
2 min
Logiciel
Logiciel
Google vient d’annoncer un renforcement de la sécurité de Chrome sur macOS. Safe Browsing va ainsi tenir compte d’un plus grand nombre de menaces visant la plateforme d’Apple, entrainant des alertes plus fréquentes.
Google indique que les utilisateurs de Chrome sur Mac verront probablement davantage de panneaux rouges avertissant que le site visité contient une menace de sécurité. Une conséquence d’un élargissement récemment de la protection Safe Browsing présente dans Chrome depuis longtemps, et dont la mission est justement de vérifier qu’un malware ne cherche pas à s’en prendre à l’internaute.
La société explique que sa protection va se concentrer en particulier sur deux domaines : les injections non voulues de publicité et la manipulation des paramètres de Chrome. Le deuxième point vise notamment tout ce qui touche à la page de démarrage, la page d’accueil et le moteur de recherche par défaut. Des éléments que certains sites et logiciels aiment à changer.
Ces modifications suivent en fait la récente diffusion de l’API Chrome Settings pour Mac. Comme sous Windows, elle devient le passage obligatoire pour les sites qui aimeraient influer sur les réglages du navigateur. L’éditeur rappelle dans la foulée que seules les extensions stockées dans le Chrome Web Store peuvent toucher aux paramètres.
À compter du 31 mars, Chrome avertira les utilisateurs de toute tentative de modification d’où qu’elle vienne – sites, extensions, applications…- si elle ne se sert pas de l’API. Notez que le passage par l’API ne garantit pas pour autant que les changements seront acceptés. Toute tentative génère une demande à l’utilisateur, qui doit la valider manuellement.
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/03/2017 à 17h15
La règle est que seul le proprio peut lancer une analyse de sécurité sur une page. Ca peut éviter quelques débordements, je vois mal le problème que tu as avec cette règle.
Le 06/03/2017 à 19h00
Tu as des milliers de petits logiciels qui sont hébergés par des services comme SourceForge, Codeplex, etc., parce que leurs auteurs ont autre chose à faire que de créer un site web pour des petits utilitaires de quelques Ko.
A partir de là il y a problème, puisqu’en en cas de faux positif, le seul recours est de demander aux admins du site de faire le nécessaire sur la Search Console, et de prier qu’ils n’ignorent pas ta demande.
Chacun peut lire ici que le traitement le plus rapide prend une journée et concerne les cas de “hameçonnage”. Pour un “logiciel malveillant”, c’est quelques jours, et plusieurs semaines si ton site a servi pour du spam.
A vrai dire, je me fiche totalement des utilisateurs qui sont assez stupides pour préférer faire confiance en un antivirus closed-source plutôt qu’en un logiciel open-source. Et ça vaut aussi pour Safe Browsing. Mais j’ai dû faire ça car ça commençait à avoir des retombées sur un gars que je respecte.
Du coup maintenant, comme la version 32-bit de mon logiciel crée des alertes sur plusieurs antivirus, pour éviter de me retrouver à nouveau pendant plusieurs semaines avec ce problème, je suis obligé de l’héberger ailleurs en fournissant un lien à reconstituer manuellement.
Et pourquoi j’ai des alertes ? Ça a commencé quand j’ai voulu améliorer la sécurité de mon installateur, étant donné que le module 7zS2.sfx de 7-Zip est une vraie passoire à ce niveau.
Mais en fait, ce n’est pas le fait d’avoir personnalisé le module de décompression qui a créé les alertes. Le simple fait de le recompiler, sans modification, a suffit pour en créer plusieurs.
La vérité est donc que les modules SFX fournis par l’auteur de 7-Zip ont simplement été whitelistés, mais les antivirus sont toujours incapables de comprendre qu’il s’agit d’une méthode légitime d’extraction de donnée.
J’ai fait le choix d’améliorer la sécurité réelle de mes utilisateurs, plutôt qu’une sécurité illusoire basée les alertes anxiogènes d’un antivirus.
Maintenant, libre à toi de croire qu’il n’y a que peu de faux-positifs avec Safe Browsing…
Le 06/03/2017 à 19h21
J’aime beaucoup le lien que tu as donnée à la fin. J’ai pioché au hasard quelques résultats de la première page, et chaque fois on voit que le mec fini par admettre que oui, y avait du JS malicieux qui s’exécutait dans ses pages.
Par contre, je n’ai pas dit qu’il y avait peu de faux-positif. J’ai dit qu’il devait y avoir au début peu de faux-positif, et que maintenant il ne doit quasi plus y en avoir.
Maintenant, que les anti-virus réagissent aux encapsuleurs comme tu le dit si bien (mais en bien trop de mots), ça n’est pas nouveau, et ça n’est pas près de changer car personne n’y a trouvé d’alternatives. Après si tu t’estimes meilleurs que les ingénieurs de MS Research/Google/Kaspersky/Intel et j’en passe, n’hésites pas à leur envoyer ton CV et ta solution, je suis sûr qu’ils t’embaucherons.
Ou feront ce que je ne ferais pas ici, c’est à dire t’expliquer à quel point tu es…
Le 06/03/2017 à 20h11
Non seulement il y a toujours des faux positifs comme le prouve mon propre exemple, mais Safe Browsing cesse de mettre à jour son status (contrairement à ce qu’il indique) dès qu’un site est marqué comme contenant des logiciels malveillants.
Les antivirus sont censés reconnaitre les “encapsuleurs” commun et documentés comme 7-Zip. Ce n’est pourtant pas le cas. Mais si tu trouves normal de considérer du LZMA auto-extractible comme un trojan, alors on va avoir du mal à se mettre d’accord.
Le problème des faux positifs ne peut qu’empirer avec le temps, car le nombre de signatures de virus augmente sans cesse, augmentant ainsi la probabilité qu’un programme embarque un bout de code correspondant à la signature d’un virus.
Les faux-positifs sont très utiles à ces entreprises, car ils font croire que leur produit détecte un plus grand nombre de menaces. En whitelistant les logiciels les plus utilisés, il est facile de cacher le problème aux naïfs.
Safe Browsing utilise, au moins en partie, les résultats de VirusTotal (lequel appartient à Google…). A partir de là, il est forcément soumis au problème des faux-positifs.
Le 06/03/2017 à 08h09
Bonjour, désolé du HS mais je ne peux pas me connecter au forum.
Pourtant les identifiants sont bien les mêmes que sur le site non?" />
Le 06/03/2017 à 09h01
Bonne nouvelle pour les 4 utilisateurs de Chrome sur Mac dans le monde " /> ( " /> )
Le 06/03/2017 à 09h12
mais pourquoi ouvrir la modif des parametres aussi ??
jamais compris, notamment sous IE windows, comment ça pouvait etre aussi simple d’installer des toolbars de merde ou de changer la home " />
Le 06/03/2017 à 10h09
Bah moi impossible de me connecter" />
Le 06/03/2017 à 13h02
Avec Chrome et Firefox utilisant ce truc par défaut, Google est vraiment en train de s’approprier internet.
Ce qu’ils ne disent pas, c’est qu’en dépit de leurs prétentions, les faux positifs y sont aussi courants que pour n’importe quel antivirus. Un site catalogué comme nuisible est purement et simplement désindexé, et les recours (qui se comptent en semaines) sont impossibles si vous n’êtes pas l’administrateur du site.
Le 06/03/2017 à 13h37
Le 06/03/2017 à 14h39
Un exécutable hébergé sur SourceForge, c’est “faire dans l’original” ? J’ai viré tous les fichiers, ça n’a rien changé. J’ai dû lancer une requête aux admins de SourceForge, vu qu’on ne peut pas utiliser la Search Console sans foutre un fichier à l’endroit voulu par Google ou éditer directement les pages html. Là, j’ai appris que la Search Console montrait des liens et un exécutable qui n’existaient plus depuis plusieurs semaines.
Ils sont lancé une review, ça a pris 16 jours (“a few days”, selon Google).
Je peux toujours essayer d’avertir mes utilisateurs, mais ça ne sert à rien s’ils sont stoppés par une grosse page rouge anxiogène.