Google travaille toujours sur des moyens de rendre Chrome plus sécurisé. À partir de Chrome 98, la société rendra beaucoup plus difficile l’attaque de périphériques réseau tels que votre routeur ou votre imprimante grâce à une nouvelle mesure de sécurité appelée Private Network Access.
Comme indiqué pour la première fois par Ars Technica, Chrome 98 interceptera les demandes lorsque des sites Web publics souhaitent accéder à des points de terminaison à l’intérieur du réseau privé d’un utilisateur (tels que votre routeur, imprimante, NAS, gadgets intelligents pour la maison, etc.), puis enregistrera la tentative. Dans les versions ultérieures de Chrome, éventuellement dès Chrome 101, le navigateur bloquera en fait ces demandes jusqu’à ce que vous accordiez l’autorisation.
Dans son plan de déploiement, Google indique que « l’accès au réseau privé (anciennement connu sous le nom de CORS-RFC1918) limite la capacité des sites Web à envoyer des requêtes à des serveurs sur des réseaux privés ».
Les routeurs sont souvent attaqués, en particulier par des vers, et pris en charge par des botnets qui les utilisent pour des attaques DDoS. Mais saviez-vous que les sites Web utilisaient également des navigateurs Web pour attaquer les routeurs ? Désormais, Google va empêcher les sites Web d’utiliser Chrome pour effectuer à nouveau une attaque de ce type.
À grande échelle, cela pourrait empêcher les principaux services comme AWS de tomber en panne et à plus petite échelle, cela pourrait empêcher les utilisateurs finaux de voir leurs connexions surchargées par des attaques DDoS.
En 2014, les pirates ont utilisé une falsification de requête intersite pour modifier les paramètres du serveur DNS pour plus de 300 000 routeurs sans fil, ce qui n’a pu se produire qu’en raison de la nature ouverte des navigateurs. Si cette modification de Chrome avait été active, cette attaque n’aurait pas eu lieu.
Il n’y a pas de date de lancement définie car Google doit utiliser la période d’essai pour s’assurer que des parties importantes d’Internet ne sont pas interrompues par ce changement. En supposant qu’il n’y ait aucune rupture significative, cela créera une couche de sécurité supplémentaire dans Chrome qui pourrait empêcher toute une classe d’attaques Web.
Ce qui se passera avec Chrome 98, c’est que Chrome enverra des demandes de contrôle en amont avant les demandes de sous-ressources de réseau privé (sites Web demandant l’accès à des appareils sur votre réseau privé). Tout échec affiche des avertissements dans DevTools, sans affecter autrement les demandes. Chrome collectera des données et contactera les plus grands sites Web concernés pour les en informer.
Avec Chrome 101 (si tout se passe bien pendant les tests), les requêtes en amont doivent aboutir. Sinon, les requêtes échoueront.
Pour la plupart des utilisateurs de Chrome, peu de choses devraient changer dans leur navigation Web quotidienne. Cependant, il y aura une expérience plus sécurisée lorsque la mise à jour sera finalement mise en ligne et il peut y avoir des invites supplémentaires à autoriser ou à refuser.
Si vous voulez tous les détails techniques sur ce qui va se passer et comment cela fonctionne, vous pouvez lire le post sur l’accès au réseau privé de Google. Cela entre dans tous les aspects techniques, mais la plupart des gens seront heureux de savoir que le navigateur coupera un type d’attaque spécifique avant qu’il ne commence, et c’est une bonne chose.