Google Chrome explore un moyen innovant d’empêcher les sites Web malveillants de pénétrer dans les réseaux domestiques des utilisateurs. Le navigateur recevra bientôt une fonctionnalité baptisée « Protections d’accès au réseau privé » qui vise à atténuer les cyberattaques via les appareils domestiques. Ceux-ci incluent les imprimantes et les routeurs liés à votre réseau via des routeurs DNS.
La nouvelle mise à jour de Google Chrome protège contre les tentatives d’infiltration
Cette nouvelle fonctionnalité, qui devrait être lancée avec Chrome v123, est au format d’avertissement uniquement. Il agit comme un gardien virtuel en examinant les demandes formulées via des sites Web publics tentant d’accéder à votre réseau privé. Au lieu d’autres défenses, celle-ci se concentre sur la navigation. Il examine les demandes suspectes afin que le réseau privé de l’utilisateur puisse être protégé des menaces potentielles.
Pour démontrer son efficacité, Google donne un exemple sur ChromeStatus où une iframe HTML sur un site Web public tente une attaque CSRF qui modifierait la configuration DNS du routeur de l’utilisateur. Par exemple, si un site accessible au public tente d’atteindre un appareil interne, une demande de contrôle en amont apparaît dans le navigateur. Le périphérique interne peut alors autoriser ou interdire l’accès à l’aide de « Access-Control-Request-Private-Network ».
Ici, même si les vérifications échouent lors de la phase d’avertissement initiale, la fonctionnalité ne bloque pas complètement les requêtes. Au lieu de cela, les développeurs recevront un avertissement dans la console DevTools pour leur donner la possibilité de résoudre ces problèmes avant toute application plus stricte. Ce faisant, cette approche de précaution permet aux développeurs de s’adapter facilement et en douceur à mesure qu’ils se familiarisent avec les nouvelles mesures de sécurité.
Le rechargement automatique peut rendre la protection d’accès au réseau privé vulnérable
Mais pour que cette fonctionnalité existe, Bleepingcomputer suggère que Google doive d’abord s’attaquer à une vulnérabilité sérieuse, l’action de rechargement automatique. La suggestion serait que si une demande précédente avait été rejetée par Private Network Access, le rechargement automatique ne devrait pas être disponible. De cette manière, le protocole de sécurité restera intact en cas de rechargement accidentel.
Cette innovation est motivée par des préoccupations croissantes concernant les sites Web tiers. Ils profitent des failles trouvées dans les serveurs ou routeurs situés au sein des réseaux privés des utilisateurs. De telles initiatives répondent à des risques tels que les attaques « SOHO Pharming » et les vulnérabilités CSRF (Cross-Site Request Forgery) ; protégeant ainsi les routeurs locaux et les interfaces logicielles contre tout accès sans autorisation.
