L’une des grandes forces de Chrome, et que Google souligne chaque fois qu’il le peut, est la sécurité du navigateur, qui a pour principale défense une puissante sandbox. C’est pourquoi la société de Moutain View s’inquiète toujours de boucher les trous et les failles découverts dans le chrome, avant que quelqu’un d’autre ne les exploite. Un individu spécifique prétend avoir trouvé une grave faille dans le navigateur, mais, suivant la ligne de conduite contraire, a décidé de ne pas la révéler à Google.
Le chercheur en sécurité Ucha Gobejishvili a déclaré que la vulnérabilité qu’il a découverte est “critique” et “zéro jour”, ce qui signifie qu’elle n’a jamais été vue auparavant. Cette faille se trouve dans une DLL Chrome qui, avec le bon code, peut permettre à n’importe quel fichier d’être téléchargé par le navigateur sans que l’utilisateur le sache. Il n’a pas dit pourquoi il ne révélerait pas la vulnérabilité de Google, mais a garanti qu’elle serait exposée lors de la conférence sur la sécurité de la MalCon qui se tiendra ce samedi.
Habituellement, la société récompense financièrement les chercheurs qui fournissent des détails sur une vulnérabilité dans Chrome. En fait, les récompenses peuvent atteindre des chiffres allant jusqu’à 60 000 euros si elles sont aussi sévères que le dit Ucha.
Mais le chercheur ne semble pas très intéressé par l’argent. Ni de Google ni d’autres sources : selon lui, plusieurs agences de renseignement l’ont déjà contacté et lui ont proposé de payer pour la vulnérabilité “une somme incroyable”, mais le chercheur ne voulait pas non plus faire des affaires.
