WebUSB dans Chrome permet aux sites Web de se connecter directement aux périphériques USB. Les chercheurs ont découvert qu'il pouvait être utilisé pour des attaques de phishing, c'est pourquoi Google l'a désactivé.
Le phishing est une préoccupation majeure si vous vivez une grande partie de votre vie sur Internet. Il existe de nombreuses façons de se protéger contre les attaques de phishing à l’aide de logiciels, mais l’une des meilleures méthodes consiste à utiliser des clés USB matérielles. Un dispositif d'authentification peut vous protéger même si l'attaquant connaît votre nom d'utilisateur et votre mot de passe. C'est du moins ce qu'ils vous diront. Deux chercheurs ont prouvé que ces appareils ne sont pas invincibles. Une fonctionnalité dans Chrome appelé WebUSB permettait de contourner les protections.
WebUSB est une fonctionnalité qui permet aux sites Web de se connecter directement à des périphériques USB; il a été ajouté dans Chrome 61. Les attaquants peuvent utiliser cette fonctionnalité avec un site Web associé pour convaincre quelqu'un de saisir son nom d'utilisateur et son mot de passe et de les envoyer directement au dispositif d'authentification pour déverrouiller le compte. Évidemment, Chrome étant le navigateur le plus populaire de la planète, il s'agit d'une vulnérabilité assez sérieuse.
Interrogé à ce sujet, le chef de produit sécurité de Google a déclaré être au courant de la situation. Ils considèrent ce type d’attaque comme un cas limite, mais ils s’efforcent de résoudre le problème. Pour le moment, Google a entièrement désactivé la fonctionnalité WebUSB. Cela a été découvert hier dans Chromium. Les utilisateurs peuvent appliquer un indicateur de ligne de commande s'ils souhaitent réellement réactiver la fonctionnalité. Pour l'instant, le problème a été résolu en supprimant les pièces mobiles.
Source: FilaireSource: Chrome