Google a récemment mis à jour la détection des logiciels malveillants dans son navigateur Chrome. Cette modification suscite des débats sur la sécurité, la confidentialité et l’impact potentiel sur les utilisateurs.Google permet depuis longtemps aux utilisateurs d'activer le mode amélioré de sa fonction Safe Browsing, une fonction de Chrome qui avertit les utilisateurs lorsqu'ils téléchargent un fichier considéré comme dangereux, soit en raison de ses caractéristiques suspectes, soit parce qu'il figure dans une liste de logiciels malveillants connus. Lorsque le mode amélioré est activé, Google invite les utilisateurs à télécharger des fichiers suspects qui ne sont pas autorisés ou bloqués par son moteur de détection :
« Les utilisateurs qui ont opté pour le mode de protection renforcée de la navigation sécurisée dans Chrome sont invités à envoyer le contenu des fichiers suspects à la navigation sécurisée pour une analyse approfondie avant d'ouvrir le fichier. Les fichiers suspects ne représentent qu'une petite partie de l'ensemble des téléchargements. Le contenu des fichiers n'est analysé qu'à des fins de sécurité et est supprimé peu de temps après l'obtention d'un verdict », indique Google.
L'entreprise explique que « Nous avons constaté que ces analyses supplémentaires étaient extraordinairement fructueuses : elles permettent de détecter de nouveaux logiciels malveillants que Safe Browsing n'avait jamais vus auparavant, ainsi que des fichiers dangereux hébergés sur de nouveaux sites. En fait, les fichiers envoyés pour une analyse approfondie ont 50 fois plus de chances d'être signalés comme des logiciels malveillants que les téléchargements dans leur ensemble ».
C'est la raison pour laquelle elle a décidé d'aller plus loin : « Étant donné que les utilisateurs de la protection renforcée ont déjà accepté d'envoyer une petite partie de leurs téléchargements à Safe Browsing à des fins de sécurité afin de bénéficier de protections supplémentaires, nous avons récemment opté pour des analyses approfondies automatiques pour ces utilisateurs, plutôt que de les inviter à chaque fois. Cela permettra de protéger les utilisateurs contre les téléchargements à risque tout en réduisant les frictions pour l'utilisateur ».
Méfiez-vous des archives protégées par un mot de passe
Google note cependant quelque chose : les analyses approfondies ne peuvent pas toutes être effectuées automatiquement. Une tendance actuelle dans la distribution de logiciels malveillants de vol de cookies consiste à emballer le logiciel malveillant dans une archive cryptée - un fichier .zip, .7z ou .rar, protégé par un mot de passe - qui dissimule le contenu du fichier à la navigation sécurisée et à d'autres analyses de détection antivirale.
L'entreprise indique avoir introduit deux mécanismes de protection en fonction du mode de navigation sécurisée sélectionné par l'utilisateur dans Chrome afin de lutter contre cette technique d'évasion :
« Les attaquants rendent souvent les mots de passe des archives chiffrées disponibles dans des endroits tels que la page à partir de laquelle le fichier a été téléchargé, ou dans le nom du fichier téléchargé. Pour les utilisateurs de la protection renforcée, les téléchargements d'archives chiffrées suspectes inviteront désormais l'utilisateur à saisir le mot de passe du fichier et à l'envoyer avec le fichier à Safe Browsing afin que le fichier puisse être ouvert et qu'une analyse approfondie puisse être effectuée. Les fichiers téléchargés et les mots de passe des fichiers sont supprimés peu de temps après avoir été analysés, et toutes les données collectées sont uniquement utilisées par Safe Browsing pour fournir de meilleures protections contre les téléchargements.
« Pour ceux qui utilisent le mode de protection standard, qui est le mode par défaut dans Chrome, nous voulions toujours être en mesure de fournir un certain niveau de protection. En mode de protection standard, le téléchargement d'une archive chiffrée suspecte déclenche également une invite à saisir le mot de passe du fichier, mais dans ce cas, le fichier et le mot de passe restent sur l'appareil local et seules les métadonnées du contenu de l'archive sont vérifiées par Safe Browsing. Ainsi, dans ce mode, les utilisateurs sont toujours protégés tant que Safe Browsing a vu et catégorisé le logiciel malveillant ».
En clair, lorsqu’un utilisateur tente de télécharger un fichier exécutable suspect (par exemple, un fichier .exe ou .msi), Chrome peut désormais demander le mot de passe associé à ce fichier. Cette mesure vise à renforcer la sécurité en analysant plus efficacement les fichiers potentiellement malveillants. Voici comment cela fonctionne :
- Activation du mode de protection amélioré : Lorsque le mode de protection amélioré est activé, Chrome invite l’utilisateur à télécharger le fichier suspect. Si le fichier est protégé par un mot de passe, l’utilisateur doit également fournir ce mot de passe. Une fois le fichier analysé, les données sont supprimées.
- Mode de protection standard : Dans le mode de protection standard (le paramètre par défaut), le téléchargement d’une archive cryptée suspecte déclenche également une invite pour entrer le mot de passe du fichier. Cependant, dans ce cas, le fichier et le mot de passe restent sur l’appareil local, et seule la métadonnée du contenu de l’archive est vérifiée par Safe Browsing.
Les implications
L'envoi à Google d'un exécutable téléchargé par hasard à partir d'un site proposant un économiseur d'écran ou un lecteur multimédia ne suscitera probablement que peu ou pas d'hésitation. En revanche, l'envoi de fichiers plus sensibles, tels que des archives de travail protégées par un mot de passe, risque de susciter davantage de réticences. Malgré l'assurance que le fichier et le mot de passe seront rapidement supprimés, il arrive que les choses tournent mal et que l'on ne s'en aperçoive qu'après des mois ou des années, voire pas du tout. Les personnes qui utilisent Chrome avec le mode amélioré activé doivent faire preuve de prudence.
La deuxième modification apportée par Google à Safe Browsing est un système de notification à deux niveaux lorsque les utilisateurs téléchargent des fichiers. Il s'agit :
- des fichiers suspects, c'est-à-dire ceux pour lesquels le moteur de vérification des fichiers de Google a rendu un verdict de moindre confiance, avec un risque inconnu de préjudice pour l'utilisateur.
- des fichiers dangereux, c'est-à-dire ceux dont le verdict de confiance est élevé et qui présentent un risque élevé pour l'utilisateur.
Les nouveaux niveaux sont mis en évidence par une iconographie, des couleurs et du texte afin de permettre aux utilisateurs de distinguer plus facilement les différents niveaux de risque. « Dans l'ensemble, ces améliorations en termes de clarté et de cohérence ont entraîné des changements significatifs dans le comportement des utilisateurs : moins d'avertissements contournés, des avertissements pris en compte plus rapidement et, dans l'ensemble, une meilleure protection contre les téléchargements malveillants », explique Google.
Auparavant, les notifications de Safe Browsing étaient moins différenciées, ce qui empêchait les utilisateurs d'évaluer le niveau de risque des téléchargements. Le nouveau système vise à fournir des avertissements plus clairs et plus cohérents, afin d'améliorer le comportement des utilisateurs face aux menaces potentielles.
Malgré ces améliorations, Chrome a été critiqué pour sa position sur les cookies tiers, qui permettent aux entreprises de suivre les utilisateurs sur plusieurs sites web. Le Privacy Sandbox de Google, proposé comme alternative aux cookies de suivi, a également été critiqué pour ne pas protéger suffisamment la vie privée des utilisateurs. Néanmoins, Chrome a été à l'avant-garde de l'introduction de mesures de sécurité telles que le bac à sable de sécurité, qui isole le code à risque pour l'empêcher d'interagir avec les données sensibles et les fonctions du système d'exploitation.
Source : Google
Et vous ?
Confidentialité vs. Sécurité : Quelle est la priorité pour vous lorsqu’il s’agit de télécharger des fichiers protégés par mot de passe ? Préférez-vous sacrifier un peu de confidentialité pour une meilleure sécurité, ou vice versa ? Responsabilité des utilisateurs : Les utilisateurs devraient-ils être responsables de la sécurité de leurs fichiers, même lorsqu’ils sont protégés par mot de passe ? Comment pouvons-nous équilibrer la commodité et la sécurité ? Transparence de Google : Google devrait-il être plus transparent sur la manière dont il analyse les fichiers et les mots de passe ? Comment cela pourrait-il affecter la confiance des utilisateurs ? Impact sur la productivité : L’analyse des fichiers protégés par mot de passe peut-elle ralentir le processus de téléchargement et affecter la productivité des utilisateurs ? Comment pouvons-nous minimiser cet impact ? Alternatives à l’analyse : Existe-t-il d’autres approches pour détecter les logiciels malveillants dans les fichiers sans demander les mots de passe ? Quelles sont les implications de ces alternatives ? 
