L’arrivée du netbook 100% cloud de Google n’est pas sans susciter la perplexité quant à la sécurité des données ainsi délocalisées dans le cloud. Mais est-ce vraiment nouveau pour les experts en sécurité rompus à la détection de failles ?
C’est sur la base d’un exploit français -une fois n’est pas coutume- que les analystes américains mettent en question l’arrivée sur le marché du Chromebooks que Google vient d’annoncer pour dans un mois. Au début de cette semaine, l’équipe française de Vupen Security déclarait, preuve video à l’appui, avoir réussi à déjouer la sécurité de Chrome et de sa technologie de bac à sable censée empêcher l’installation de codes malveillants. De quoi mettre en émoi le petit monde des experts en sécurité. De quoi aussi amener sur le devant de la scène la question de la sécurisation des données personnelles qui, avec le notebook de Google équipé du seul OS/navigateur, sont entièrement externalisées, stockées dans le cloud. Donc potentiellement exposées aux piratages en tous genres.
« Mais n’est-ce pas déjà le cas avec les smartphones ? Et avec les données hébergées chez un opérateur», lance Jean-Philippe Isckia, manager associé et responsable des audits d’infrastructures chez Lexsi. Même réaction de la part de Thierry Cossavella, directeur d’Athena Global Services, au sujet de la vulnérabilité globale de tout ce qui circule sur la toile: «au travers de notre nouvelle offre d’audit de vulnérabilité automatisé, l’expérience a montré dès la première semaine qu’il n’y a quasiment pas de sites web sans faille ».
La différence, cette fois, c’est que Google argue d’un dispositif de sécurité tellement blindé que les avantages du cloud computing mis à la portée de tous, avec le Chromebook (rapidité, disponibilité, sécurité grâce à la fréquence des mises à niveau des parades à toute attaque) dépassent largement l’inconvénient du risque potentiel (menace de piratage de données).
Les experts (dont l’équipe de Vupen) s’accordent à dire que Chrome reste le navigateur le plus sécurisé. « Google a d’emblée réagi au défi lié à la faille détectée par Vupen, qui concerne plus le plug-in Flash que Chrome en lui-même», remarque Jean-Philippe Isckia. Il n’empêche : les récents déboires de Sony et de Facebook, entre autres, donnent à penser que Google s’expose là un peu plus encore à l’attention des hackers de tous acabits. S’y ajoute le risque lié aux quelques données personnelles qui resteront sur le Chromebook, ne serait ce que les éléments d’authentification. Des données exposées, notamment, au vol du notebook lui-même. Mais là aussi, rien de bien nouveau. A voir, de plus, le peu de cas que font les utilisateurs du risque auxquels ils s’exposent, eux-mêmes et leurs entreprises, en mêlant usages personnels et usages métiers, de l’avis de Jean-Philippe Isckia, les mises en garde des experts ne devraient pas trop entraver le lancement du Chromebook.