Google est en train de repenser les détections de logiciels malveillants de Chrome pour inclure des fichiers exécutables protégés par mot de passe que les utilisateurs peuvent télécharger pour une analyse approfondie, un changement qui, selon le fabricant du navigateur, lui permettra de détecter davantage de menaces malveillantes.
Depuis longtemps, Google permet aux utilisateurs d’activer le mode amélioré de sa navigation sécurisée, une fonctionnalité de Chrome qui avertit les utilisateurs lorsqu’ils téléchargent un fichier considéré comme dangereux, soit en raison de caractéristiques suspectes, soit parce qu’il figure dans une liste de logiciels malveillants connus. Lorsque le mode amélioré est activé, Google invite les utilisateurs à télécharger des fichiers suspects qui ne sont pas autorisés ou bloqués par son moteur de détection. Dans le cadre des nouvelles modifications, Google demandera à ces utilisateurs de fournir tout mot de passe nécessaire pour ouvrir le fichier.
Attention aux archives protégées par mot de passe
Dans un article publié mercredi, Jasika Bawa, Lily Chen et Daniel Rubery de l’équipe Chrome Security ont écrit :
Toutes les analyses approfondies ne peuvent pas être effectuées automatiquement. Une tendance actuelle dans la distribution de programmes malveillants de vol de cookies consiste à regrouper les logiciels malveillants dans une archive chiffrée (un fichier .zip, .7z ou .rar, protégé par un mot de passe) qui masque le contenu du fichier à la navigation sécurisée et aux autres analyses de détection antivirus. Afin de lutter contre cette technique d’évasion, nous avons introduit deux mécanismes de protection en fonction du mode de navigation sécurisée sélectionné par l’utilisateur dans Chrome.
Les pirates informatiques rendent souvent les mots de passe des archives chiffrées disponibles dans des endroits tels que la page à partir de laquelle le fichier a été téléchargé ou dans le nom du fichier téléchargé. Pour les utilisateurs bénéficiant de la protection renforcée, les téléchargements d’archives chiffrées suspectes inviteront désormais l’utilisateur à saisir le mot de passe du fichier et à l’envoyer avec le fichier à la navigation sécurisée afin que le fichier puisse être ouvert et qu’une analyse approfondie puisse être effectuée. Les fichiers téléchargés et les mots de passe des fichiers sont supprimés peu de temps après leur analyse, et toutes les données collectées sont uniquement utilisées par la navigation sécurisée pour offrir de meilleures protections de téléchargement.
Agrandir / Entrez un mot de passe de fichier pour envoyer un fichier crypté pour une analyse anti-programme malveillant
Google
Pour ceux qui utilisent le mode de protection standard, qui est le mode par défaut de Chrome, nous voulions quand même pouvoir fournir un certain niveau de protection. En mode de protection standard, le téléchargement d’une archive chiffrée suspecte déclenchera également une invite à saisir le mot de passe du fichier, mais dans ce cas, le fichier et le mot de passe restent sur l’appareil local et seules les métadonnées du contenu de l’archive sont vérifiées avec la navigation sécurisée. Ainsi, dans ce mode, les utilisateurs sont toujours protégés tant que la navigation sécurisée a précédemment détecté et catégorisé le logiciel malveillant.
Envoyer à Google un fichier exécutable téléchargé par hasard depuis un site faisant la promotion d’un économiseur d’écran ou d’un lecteur multimédia ne suscitera probablement que peu d’hésitations, voire aucune. En revanche, pour les fichiers plus sensibles, comme une archive de travail protégée par un mot de passe, il est probable que la résistance soit plus forte. Malgré les assurances selon lesquelles le fichier et le mot de passe seront rapidement supprimés, il arrive que des problèmes surviennent et ne soient découverts que des mois, voire des années plus tard. Les personnes qui utilisent Chrome avec le mode amélioré activé doivent faire preuve de prudence.
Un deuxième changement apporté par Google à la navigation sécurisée est un système de notification à deux niveaux lorsque les utilisateurs téléchargent des fichiers. Ces modifications sont les suivantes :
Fichiers suspects, c’est-à-dire que le moteur de vérification des fichiers de Google a donné un verdict de confiance plus faible, avec un risque inconnu de préjudice pour l’utilisateur
Fichiers dangereux ou ceux dont le verdict de confiance est élevé selon lequel ils présentent un risque élevé de préjudice pour l’utilisateur
Les nouveaux niveaux sont mis en évidence par une iconographie, des couleurs et du texte afin de permettre aux utilisateurs de distinguer plus facilement les différents niveaux de risque. « Dans l’ensemble, ces améliorations en termes de clarté et de cohérence ont entraîné des changements significatifs dans le comportement des utilisateurs, notamment une diminution du nombre d’avertissements ignorés, une prise en compte plus rapide des avertissements et, dans l’ensemble, une meilleure protection contre les téléchargements malveillants », ont écrit les auteurs de Google.
Auparavant, les notifications de navigation sécurisée ressemblaient à ceci :
Agrandir / Différenciation entre les avertissements suspects et dangereux.
Google
Au cours de l’année écoulée, Chrome n’a pas changé d’avis sur sa prise en charge continue des cookies tiers, une décision qui permet aux entreprises, grandes et petites, de suivre les utilisateurs de ce navigateur lorsqu’ils naviguent d’un site Web à l’autre. L’alternative de Google aux cookies de suivi, connue sous le nom de Privacy Sandbox, a également reçu de mauvaises notes de la part des défenseurs de la vie privée, car elle suit les intérêts des utilisateurs en fonction de l’utilisation de leur navigateur.
Cela dit, Chrome est depuis longtemps un leader dans l’introduction de protections, telles qu’un sandbox de sécurité qui bloque le code risqué afin qu’il ne puisse pas se mêler aux données sensibles et aux fonctions du système d’exploitation. Ceux qui restent fidèles à Chrome devraient au minimum conserver le mode de navigation sécurisé standard activé. Les utilisateurs ayant l’expérience nécessaire pour choisir judicieusement les fichiers à envoyer à Google devraient envisager d’activer le mode amélioré.
