Google s'excuse après qu'un bogue dans le gestionnaire de mot de passe de Chrome a entraîné la disparition des mots de passe de 15 millions d'utilisateurs de Windows,

Perturbant leurs flux de travail

Google s'excuse après qu'un bogue dans le gestionnaire de mot de passe de Chrome a entraîné la disparition des mots de passe de 15 millions d'utilisateurs de Windows
perturbant leurs flux de travail

Le monde se remet à peine des dégâts causés par la mise à jour défectueuse de CrowdStrike que Google livre à son tour une mise à jour problématique qui a empêché des millions d'utilisateurs d'accéder à leurs mots de passe sauvegardés dans Chrome. Une estimation indique que le bogue a affecté quelque 15 millions d'utilisateurs de Windows dans le monde. Leurs mots de passe ont disparu pendant 18 heures entre les 24 et 25 juillet. Google s'est excusé, expliquant que le bogue était lié à "un changement de comportement du produit sans garde-fou approprié". Une explication qui peut sembler familière à tous ceux qui ont été pris dans la panne de CrowdStrike.

Un bogue dans Chrome prive des millions d'utilisateurs de leurs mots de passe

Le désagrément causé par Google aux utilisateurs de Chrome sous Windows est passé presque inaperçu en raison de l'attention portée à la panne mondiale provoquée par CrowdStrike. Google a dû ajouter son lot de stress aux utilisateurs de Windows déjà sévèrement impactés par la mise à jour défectueuse de CrowdStrike. Le problème de disparition des mots de passe a affecté les utilisateurs du navigateur Web Chrome dans le monde entier, les empêchant de retrouver les mots de passe déjà enregistrés à l'aide du gestionnaire de mots de passe de Chrome. L'application a cessé de fonctionner et a ralenti les utilisateurs.


Le bogue spécifique affectant les utilisateurs de Windows concernait le gestionnaire de mots de passe de Chrome. Il a provoqué une grande frustration, certains utilisateurs ayant rapporté qu'ils n'ont pas été en mesure d'accéder à de nombreux sites qu'ils utilisent quotidiennement, car ils avaient perdu leurs mots de passe alambiqués sauvegardés dans Chrome. Les mots de passe nouvellement enregistrés sont également devenus invisibles pour les utilisateurs concernés. Google, qui a maintenant résolu le problème, a déclaré que le problème était limité à la version M127 du navigateur Chrome sur la plateforme Windows.

Dans un premier temps, Google a proposé une solution de contournement, mais la plupart des utilisateurs finaux ne se sentiraient pas à l'aise de la mettre en œuvre, car elle impliquait de lancer le navigateur à l'aide d'un drapeau de ligne de commande. Google a maintenant déployé un correctif et les utilisateurs affectés n'auront qu'à redémarrer leur navigateur, mais il a fallu tout de même 18 heures au géant de la recherche pour résoudre le problème.

Il est difficile de déterminer avec précision le nombre d'utilisateurs touchés par le bogue. Toutefois, en partant du principe qu'il y a plus de 3 milliards d'utilisateurs de Chrome et que les utilisateurs de Windows représentent la grande majorité d'entre eux, il est possible d'estimer ce nombre. Google a déclaré que 25 % de la base d'utilisateurs a vu le changement de configuration déployé, ce qui représente environ 750 millions d'utilisateurs.

Parmi eux, environ 2 % ont été touchés par le bogue. Cela signifie qu'environ 15 millions d'utilisateurs ont vu leurs mots de passe se volatiliser. Google a présenté ses excuses à ses clients en déclarant : « nous nous excusons pour la gêne occasionnée par cette interruption de service ». Selon Google, les utilisateurs de Chrome dont l'impact va au-delà de ce qui a été expliqué doivent contacter le service d'assistance de Google Workspace.

Google est également confronté à d'autres problèmes en matière de sécurité

Chrome M127 a été publiée pour corriger un total de 24 problèmes de sécurité, mais le bogue du gestionnaire de mots de passe n'en faisait pas partie. Cet incident illustre une qu'il est plus sûr de conserver une application dédiée à la gestion des mots de passe d'un point de vue strictement sécuritaire. Bien qu'une solution basée dans un navigateur facilite l'utilisation, il n'est jamais bon de mettre tous ses œufs dans le même panier lorsque les choses tournent mal.


Par ailleurs, selon le journaliste spécialisé en cybersécurité Brian Krebs, les mots de passe ne sont pas la seule chose que les utilisateurs de Google ont vue disparaître récemment : la vérification de l'e-mail lors de la création d'un nouveau compte Google Workspace a également disparu pour certains utilisateurs. Ce bogue d'authentification permettait à de mauvais acteurs de contourner la vérification de l'adresse électronique requise pour créer un compte Google Workspace.

Selon Krebs, cela leur permettait d'usurper l'identité d'un détenteur de domaine auprès de services tiers. Cette usurpation d'identité permettait à cette personne de se connecter à des services tiers, y compris à un compte Dropbox. Le bogue semble être lié aux essais gratuits proposés par Google Workspace, qui permettent d'accéder à des services comme Google Docs, par exemple. En revanche, Gmail n'est accessible qu'aux utilisateurs existants qui peuvent valider leur contrôle sur le nom de domaine associé. C'est du moins ce qui aurait dû se produire.

Au lieu de cela, il semble qu'un pirate puisse contourner entièrement le processus de validation. Anu Yamunan, directeur des protections contre les abus et la sécurité chez Google Workspace, a déclaré à Krebs que quelques milliers de comptes non vérifiés par le nom de domaine avaient été créés avant l'application du correctif. Un correctif, il faut le préciser, qui a été appliqué dans les 72 heures suivant le signalement de la vulnérabilité. Il est entendu qu'aucun des domaines n'était auparavant associé à des comptes ou des services Workspace.

« La tactique consistait à créer une demande spécifiquement construite par un acteur malveillant pour contourner la vérification de l'adresse électronique au cours du processus d'inscription », a déclaré Yamunan. Bien que le bogue dans Chrome ait affecté des millions d'utilisateurs, les dégâts semblent moindres par rapport à la panne de CrowdStrike. Mais un utilisateur met en garde :

« L'influence de Chrome est plus importante que celle de Crowdstrike. Ce n'est qu'une question de temps avant qu'une mise à jour "on s'est planté" n'arrive sur Chrome. Probablement parce qu'un conflit avec leur code drm/anti-adblock tourne mal et que de faux positifs corrompent tout le navigateur. J'ai déjà dû faire face à Firefox qui s'est cassé la figure avec la panne des extensions ; la panne de Chrome aura un impact sur beaucoup plus de gens. Chrome est de facto le point central de défaillance sur le Web, et il suffira d'un point-virgule manquant quelque part pour tout gâcher ».

Google et CrowdStrike ne sont qu'un aperçu d'un problème plus critique

La panne mondiale provoquée par CrowdStrike a mis en lumière la vulnérabilité du secteur de la cybersécurité. Une mise à jour défectueuse du logiciel Falcon Sensor de CrowdStrike a entraîné des plantages massifs d’ordinateurs Windows dans le monde entier. Microsoft a estimé à 8,5 millions le nombre de machines affectées, la panne ayant entraîné l'annulation de milliers de vols sur plusieurs jours, l'interruption du service dans certains hôpitaux, etc. L'incident souligne les problèmes majeurs de notre infrastructure informatique. D’autres entreprises du même modèle commercial pourraient également être touchées.

Tired of clicking “Forgot password?”

Use Google Password Manager to securely access passwords across iOS, Android and desktop. pic.twitter.com/02ERJtEpTN

— Chrome (@googlechrome) July 2, 2024

Selon le site de site Web de CrowdStrike, il faut en moyenne 62 minutes à un acteur de la menace pour faire tomber votre entreprise. Pourtant, CrowdStrike, la société chargée de protéger des dizaines de milliers de clients contre les pirates informatiques, a réussi à faire tomber une grande partie des entreprises mondiales en diffusant une mise à jour défectueuse. Selon Parametrix, la panne pourrait avoir coûté aux entreprises Fortune 500 jusqu'à 5,4 milliards de dollars de revenus et de bénéfices bruts, sans compter les...