Le monde se remet à peine des dégâts causés par la mise à jour défectueuse de CrowdStrike que Google livre à son tour une mise à jour problématique qui a empêché des millions d'utilisateurs d'accéder à leurs mots de passe sauvegardés dans Chrome. Une estimation indique que le bogue a affecté quelque 15 millions d'utilisateurs de Windows dans le monde. Leurs mots de passe ont disparu pendant 18 heures entre les 24 et 25 juillet. Google s'est excusé, expliquant que le bogue était lié à "un changement de comportement du produit sans garde-fou approprié". Une explication qui peut sembler familière à tous ceux qui ont été pris dans la panne de CrowdStrike.Un bogue dans Chrome prive des millions d'utilisateurs de leurs mots de passe
Le désagrément causé par Google aux utilisateurs de Chrome sous Windows est passé presque inaperçu en raison de l'attention portée à la panne mondiale provoquée par CrowdStrike. Google a dû ajouter son lot de stress aux utilisateurs de Windows déjà sévèrement impactés par la mise à jour défectueuse de CrowdStrike. Le problème de disparition des mots de passe a affecté les utilisateurs du navigateur Web Chrome dans le monde entier, les empêchant de retrouver les mots de passe déjà enregistrés à l'aide du gestionnaire de mots de passe de Chrome. L'application a cessé de fonctionner et a ralenti les utilisateurs.
Le bogue spécifique affectant les utilisateurs de Windows concernait le gestionnaire de mots de passe de Chrome. Il a provoqué une grande frustration, certains utilisateurs ayant rapporté qu'ils n'ont pas été en mesure d'accéder à de nombreux sites qu'ils utilisent quotidiennement, car ils avaient perdu leurs mots de passe alambiqués sauvegardés dans Chrome. Les mots de passe nouvellement enregistrés sont également devenus invisibles pour les utilisateurs concernés. Google, qui a maintenant résolu le problème, a déclaré que le problème était limité à la version M127 du navigateur Chrome sur la plateforme Windows.
Dans un premier temps, Google a proposé une solution de contournement, mais la plupart des utilisateurs finaux ne se sentiraient pas à l'aise de la mettre en œuvre, car elle impliquait de lancer le navigateur à l'aide d'un drapeau de ligne de commande. Google a maintenant déployé un correctif et les utilisateurs affectés n'auront qu'à redémarrer leur navigateur, mais il a fallu tout de même 18 heures au géant de la recherche pour résoudre le problème.
Il est difficile de déterminer avec précision le nombre d'utilisateurs touchés par le bogue. Toutefois, en partant du principe qu'il y a plus de 3 milliards d'utilisateurs de Chrome et que les utilisateurs de Windows représentent la grande majorité d'entre eux, il est possible d'estimer ce nombre. Google a déclaré que 25 % de la base d'utilisateurs a vu le changement de configuration déployé, ce qui représente environ 750 millions d'utilisateurs.
Parmi eux, environ 2 % ont été touchés par le bogue. Cela signifie qu'environ 15 millions d'utilisateurs ont vu leurs mots de passe se volatiliser. Google a présenté ses excuses à ses clients en déclarant : « nous nous excusons pour la gêne occasionnée par cette interruption de service ». Selon Google, les utilisateurs de Chrome dont l'impact va au-delà de ce qui a été expliqué doivent contacter le service d'assistance de Google Workspace.
Google est également confronté à d'autres problèmes en matière de sécurité
Chrome M127 a été publiée pour corriger un total de 24 problèmes de sécurité, mais le bogue du gestionnaire de mots de passe n'en faisait pas partie. Cet incident illustre une qu'il est plus sûr de conserver une application dédiée à la gestion des mots de passe d'un point de vue strictement sécuritaire. Bien qu'une solution basée dans un navigateur facilite l'utilisation, il n'est jamais bon de mettre tous ses œufs dans le même panier lorsque les choses tournent mal.
Par ailleurs, selon le journaliste spécialisé en cybersécurité Brian Krebs, les mots de passe ne sont pas la seule chose que les utilisateurs de Google ont vue disparaître récemment : la vérification de l'e-mail lors de la création d'un nouveau compte Google Workspace a également disparu pour certains utilisateurs. Ce bogue d'authentification permettait à de mauvais acteurs de contourner la vérification de l'adresse électronique requise pour créer un compte Google Workspace.
Selon Krebs, cela leur permettait d'usurper l'identité d'un détenteur de domaine auprès de services tiers. Cette usurpation d'identité permettait à cette personne de se connecter à des services tiers, y compris à un compte Dropbox. Le bogue semble être lié aux essais gratuits proposés par Google Workspace, qui permettent d'accéder à des services comme Google Docs, par exemple. En revanche, Gmail n'est accessible qu'aux utilisateurs existants qui peuvent valider leur contrôle sur le nom de domaine associé. C'est du moins ce qui aurait dû se produire.
Au lieu de cela, il semble qu'un pirate puisse contourner entièrement le processus de validation. Anu Yamunan, directeur des protections contre les abus et la sécurité chez Google Workspace, a déclaré à Krebs que quelques milliers de comptes non vérifiés par le nom de domaine avaient été créés avant l'application du correctif. Un correctif, il faut le préciser, qui a été appliqué dans les 72 heures suivant le signalement de la vulnérabilité. Il est entendu qu'aucun des domaines n'était auparavant associé à des comptes ou des services Workspace.
« La tactique consistait à créer une demande spécifiquement construite par un acteur malveillant pour contourner la vérification de l'adresse électronique au cours du processus d'inscription », a déclaré Yamunan. Bien que le bogue dans Chrome ait affecté des millions d'utilisateurs, les dégâts semblent moindres par rapport à la panne de CrowdStrike. Mais un utilisateur met en garde :
« L'influence de Chrome est plus importante que celle de Crowdstrike. Ce n'est qu'une question de temps avant qu'une mise à jour "on s'est planté" n'arrive sur Chrome. Probablement parce qu'un conflit avec leur code drm/anti-adblock tourne mal et que de faux positifs corrompent tout le navigateur. J'ai déjà dû faire face à Firefox qui s'est cassé la figure avec la panne des extensions ; la panne de Chrome aura un impact sur beaucoup plus de gens. Chrome est de facto le point central de défaillance sur le Web, et il suffira d'un point-virgule manquant quelque part pour tout gâcher ».
Google et CrowdStrike ne sont qu'un aperçu d'un problème plus critique
La panne mondiale provoquée par CrowdStrike a mis en lumière la vulnérabilité du secteur de la cybersécurité. Une mise à jour défectueuse du logiciel Falcon Sensor de CrowdStrike a entraîné des plantages massifs d’ordinateurs Windows dans le monde entier. Microsoft a estimé à 8,5 millions le nombre de machines affectées, la panne ayant entraîné l'annulation de milliers de vols sur plusieurs jours, l'interruption du service dans certains hôpitaux, etc. L'incident souligne les problèmes majeurs de notre infrastructure informatique. D’autres entreprises du même modèle commercial pourraient également être touchées.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Tired of clicking “Forgot password?” <br><br>Use Google Password Manager to securely access passwords across iOS, Android and desktop. <a href="https://t.co/02ERJtEpTN">pic.twitter.com/02ERJtEpTN</a></p>— Chrome (@googlechrome) <a href="https://twitter.com/googlechrome/status/1808185277803827475?ref_src=twsrc%5Etfw">July 2, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
Selon le site de site Web de CrowdStrike, il faut en moyenne 62 minutes à un acteur de la menace pour faire tomber votre entreprise. Pourtant, CrowdStrike, la société chargée de protéger des dizaines de milliers de clients contre les pirates informatiques, a réussi à faire tomber une grande partie des entreprises mondiales en diffusant une mise à jour défectueuse. Selon Parametrix, la panne pourrait avoir coûté aux entreprises Fortune 500 jusqu'à 5,4 milliards de dollars de revenus et de bénéfices bruts, sans compter les pertes secondaires qui peuvent être attribuées à la perte de productivité ou à l'atteinte à la réputation.
Fitch Ratings, l'une des plus grandes agences de notation américaines, a déclaré : « Cet incident met en évidence le risque croissant de points de défaillance uniques ». L'entreprise a averti que ces points de défaillance uniques sont susceptibles d'augmenter au fur et à mesure que les entreprises cherchent à se consolider pour tirer parti de l'échelle et de l'expertise, ce qui se traduit par un nombre réduit de fournisseurs détenant des parts de marché plus importantes. Selon les experts, il est important de tirer des leçons de cet incident, qui pourrait exacerber les craintes liées à la concentration dans le secteur de la cybersécurité.
SecurityScorecard indique que 15 entreprises seulement dans le monde représentent 62 % du marché des produits et services de cybersécurité. Et selon l'IDC, dans le domaine de la sécurité des terminaux modernes, qui consiste à sécuriser les PC, les ordinateurs portables et d'autres appareils, le problème est pire : trois entreprises, dont Microsoft et CrowdStrike sont de loin les plus importantes, contrôlaient la moitié du marché l'année dernière.
Le monde est aujourd'hui confronté à une prise de conscience très importante et terrifiante : de nombreuses personnes en charge de nos systèmes numériques mondiaux dépendent d'un seul fournisseur de logiciels comme point de défaillance (une estimation suggère que CrowdStrike représente 24 % du marché de la sécurité), et lorsque ce fournisseur lui-même commet une erreur, nous sommes tous amenés à en subir les conséquences.
Ironiquement, quelques heures avant la diffusion de sa mise à jour défectueuse, CrowdStrike a publié un rapport indiquant ceci : « les entreprises omettent la moitié du temps d'évaluer la sécurité des principales mises à jour des applications logicielles, car cela est compliqué, coûteux et prend du temps ». La panne gigantesque que CrowdStrike a provoquée démontre l'importance de la vérification des mises avant leur déploiement dans la nature.
Sources : Google, billet de blogue
Et vous ?
Quel est votre avis sur le sujet ? Avez-vous été touché par le bogue lié au gestionnaire de mots de passe de Chrome ? Si oui, partagez votre expérience. Selon vous, comment les utilisateurs peuvent-ils éviter d'être bloqués par tels bogues à l'avenir ? Partagez-vous l'avis selon lequel le navigateur Chrome est le point central de défaillance sur le Web ? Que pensez-vous de la vulnérabilité du secteur de la cybersécurité dans son ensemble ? Comment le rendre plus résilient ?Voir aussi
CrowdStrike offre une maigre carte-cadeau de 10 $ pour s'excuser de la panne mondiale dont les dégâts sont évalués à 5,4 Mds $ pour les seules entreprises du Fortune 500, une compensation qui suscite un tollé CrowdStrike n'est pas la seule à être vulnérable, mais tout le secteur de la cybersécurité. Les solutions technologiques sur lesquelles nous comptons sont souvent moins abouties qu'il n'y paraît Les entreprises omettent la moitié du temps d'évaluer la sécurité des principales mises à jour des applications logicielles, car cela est compliqué, coûteux et prend du temps, d'après CrowdStrike