Chromebooks HS suite à une mise à jour, la question du tout dans les nuages

Une mise à jour anodine de votre Chromebook, la version 56, et voilà que certains n’ont plus accès à leur machine. Une série de Chromebooks HS qui pose problème à Google même si il se réfugie bien vite derrière un autre responsable… Symantec et son antivirus pas forcément à jour.

C’est une histoire de protocoles de sécurité plutôt qu’un bug qui a rendu ces Chromebooks HS. Plusieurs utilisateurs d’un antivirus de Symantec utilisé sur ces engins n’ont plus eu la possibilité d’accéder à Internet. Un peu gênant pour des machines dont la quasi totalité des usages dépend du web. Sans accès au réseau, un Chromebook perd beaucoup de son intérêt même si il est possible de travailler hors ligne, les utilisateurs dépendent beaucoup du réseau.


Acer Chromebook CB3-131Le problème ne vient donc pas de Google, sa mise à jour n’entrave évidemment pas un accès au web. Ce qui a rendu ces Chromebooks HS, c’est simplement l’ajout d’un protocole de sécurité au système. Un protocole  qui n’est pas forcément pris en charge par l’ensemble des autres utilitaires et services installés sur la machine. En particulier les antivirus qui peuvent, entre autre choses, bloquer l’accès au réseau si la machine emploie un langage qui lui parait suspect.

Et c’est exactement ce qui s’est passé. Faute  d’une reconnaissance du dialogue chiffré entre la version 56 de ChromeOS et le web  en général, l’antivirus1 de Symantec a bloqué tout simplement la communication. Impossible de faire transiter des données dans un sens comme dans l’autre.

Chez Google, on assure que l’information de cette implantation de ce protocole de chiffrement plus sécurisée avait été communiquée aux éditeurs d’antivirus. Certains semblent l’avoir pris en compte, d’autres non. Et le problème retombe donc sur Symantec et d’autres éditeurs de logiciels antivirus… ces derniers ont tendance à voir d’un mauvais œil le trafic de données qu’il ne peuvent pas analyser faute de clé de chiffrement. Certains bloquent même d’office et sciemment ce type de chiffrement. Et pas que sous ChromeOS.

Acer Chromebook R11

Chez les éditeurs, la réponse est liée à la sécurité de l’utilisateur. Les passoires qui ont été pendant longtemps les outils de navigation ont eu en plus la mauvaise habitude de ne pas être facilement programmables, voir de manquer d’outils pour les programmer proprement. Le résultat a été de blinder le navigateur autour de son interface en bloquant un maximum de possibilité d’attaques.

C’est un vrai problème qui pourrait se répéter à l’avenir. Les données sont sauvegardées dans les nuages pour la plupart avec ChromeOS mais en cas d’incompréhension entre le système et les applications ou extensions employées, le dialogue avec le web peut entièrement se bloquer. Comment s’en sortir ? A part mettre les mains dans le cambouis, ce qui peut nécessiter un certain niveau technique et l’accès à une autre machine. Si l’engin ne peut plus être mis à jour, il faudra procéder à une réinitialisation complète avant de s’identifier à nouveau… en espérant que Google et les éditeurs aient trouvé une parade à ce souci technique entre temps.

Notes :

  1. Pourquoi installer un antivirus sur un Chromebook ? Plusieurs bonnes raisons à cela, d’abord il peut s’agir d’une demande d’un cahier des charges inhérent à un appel d’offres. Pas d’antivirus signifiera alors pas de possibilité de répondre à l’appel d’offres. Ensuite les pirates et autres diffuseurs de virus sont aujourd’hui des trafiquants de données voir des maître chanteurs qui peuvent s’en prendre à votre machine en la chiffrant… Un antivirus permet d’éviter cela
21 commentaires sur ce sujet.
  • 1 mars 2017 - 10 h 30 min

    @Pierre la (presque) coïncidence avec la « panne » de aws est amusante

    Répondre
  • SaM
    1 mars 2017 - 11 h 24 min

    L’histoire n’a rien à voir avec un antivirus installé sur les chromebooks (antivirus qui n’existe d’ailleurs pas sur chromebook) mais avec un proxy configuré sur le réseau d’une école.

    Répondre
  • 1 mars 2017 - 11 h 25 min

    @emilio : Tu peux développer, stp ?

    Répondre
  • CHP
    1 mars 2017 - 11 h 32 min

    Chromebook & Co : A quoi sert d’avoir un PC si s’est pour revenir 40 ans en arrière à l’époque des terminaux ?

    On est en train de perdre tous les avantages acquis en terme d’indépendance du traitement de l’information et en plus on commence à voir les effets pervers de ce « business model ».

    J’ai en mémoire le cas d’un collègue qui à tout misé sur du « Coffre fort numérique gratuit ». Le jour ou la société qui hébergeait ses données personnelles (impôts, factures, bulletins de salaires, photos de famille, …) à été rachetée par une autre société (hors de l’Europe) il lui a été fait un chantage ou il devait dorénavant payer pour récupérer ses données (ou les perdre).

    Perso, j’ai opté pour du « cloud personnel » avec sauvegardes décentralisées et certainement pas du « cloud public ».

    Répondre
  • 1 mars 2017 - 11 h 37 min

    HS c’est un peu .. HS comme terme. Bloqué plutot .. HS ca implique la machine en panne a un niveau bas et local.

    Répondre
  • 1 mars 2017 - 11 h 47 min

    @Pierre:

    J’aimerai bien savoir comment un antivirus peut empêcher un ransomware de crypter mes données sur mon chromebook !

    Il faudrait d’abord compromettre la machine, sans doute par le navigateur ou via une extension, mais çà reste loin d’être facile sur un chromebook.

    J’utilise JUSTEMENT mon chromebook parce qu’il n’a pas besoin de tous ces logiciels de sécurité, qui sont de plus en plus complexes voire pervers (espionnage des données genre AVAST). Google fait déjà ça très bien.

    Répondre
  • CHP
    1 mars 2017 - 11 h 54 min

    @brousse.ouillisse

    Bah voyons… on aura tout lu. Google qui est placé en roi de l’anonymat.

    Répondre
  • 1 mars 2017 - 12 h 05 min

    @CHP: Il dit exactement le contraire en fait.

    Répondre
  • 1 mars 2017 - 12 h 16 min

    Cela m’étonne qu’une solution symantec soit implanté directement au sein des chromebook car c’est justement le slogan de google de pouvoir se passer d’antivirus, c’est pas plutôt sur une passerelle ou un proxy d’université/entreprise?
    Cela pose toutefois la question du tout connecté, on l’a vu hier avec la panne aws qui a bloqué une partie des objets connectés l’internet of shit.. euh things

    Répondre
  • SaM
    1 mars 2017 - 13 h 23 min

    @Dimitri:
    C’est exactement ça, c’est le proxy bluecoat de symantec, rien à voir avec un quelconque antivirus. Ce qui au final concerne tout de suite énormément moins de monde et surtout la solution est plus simple.
    Encore une fois, dès que ça parle de sécurité/réseau, les journalistes sont à la ramasse et/ou cherchent à faire dans le sensationnalisme (je pense surtout à l’auteur de l’article de zdnet france, qui a certainement servi de source à Pierre, l’article en anglais étant plus clair)

    Répondre
  • 1 mars 2017 - 13 h 50 min

    le proxy bluecooat contient un processus découvrant les malware au travers de l analyse des donnes chiffrees. Cela fait parti de ce qu’on appelle communément une action anti virus et cette partie est bien anti virus.
    Cela a donc bien a voir avec la notion d anti virus.

    Pire c est bien cette partie la du proxy qui bloque la connection vers le net en cas de decouverte.

    pour conclure, avant de parler de « a la ramasse » bien analyser le sujet aussi

    Répondre
  • 1 mars 2017 - 14 h 02 min

    @OuiDocteurBob:

    C’est une blagounette par rapport aux soucis d’hier de aws (chercher #AWS S3 outage) qui ont causé l’inaccessibilité de « quelques » sites web « mineurs » (et pas d’internet qui lui se portait comme un charme)

    Répondre
  • 1 mars 2017 - 15 h 55 min

    Au delà de ce problème la question est : quel intérêt d’utiliser SSL / TLS si un proxy peut tout déchiffrer de manière transparente (Ce que TLS 1.3 semble être en mesure d’empêcher si je comprend bien l’article original ?), Bluecoat est donc un système qui est un MITM volontaire (pour celui qui le met en place) au détriment de la sécurité et de la vie privée des gens (que se passe t’il si le proxy ou le programme se fait poutrer ?… pas terrible)

    Répondre
  • 1 mars 2017 - 18 h 40 min
  • 1 mars 2017 - 18 h 41 min

    Ce que je comprends de l’article de ZDNET, c’est que c’est un problème de proxy. Les ChromeBooks peuvent donc toujours se connecter à Internet s’ils se connectent à un autre réseau… donc c’est embétant pour l’école, mais les Chromebook ne sont pas « bricked »

    Répondre
  • 1 mars 2017 - 21 h 37 min

    Bientôt on achètera des voiture ou des objets connectés à internet avec Norton préinstallé

    Répondre
  • Xo7
    1 mars 2017 - 21 h 53 min

    @Samsung Magician: as voir la pub HP actuelle pour ces imprimantes connectées avec Mr robot….

    Répondre
  • SaM
    2 mars 2017 - 12 h 52 min

    @moui:
    Oui, sauf que ce n’est pas la partie « antivirus » de la protection offerte pour le proxy qui est en cause, le problème pourrait exister avec n’importe quel proxy « lambda ».
    Tel qu’écrit dans l’article, on comprend que c’est un antivirus installé sur le chromebook, ce qui n’est absolument pas le cas.

    Répondre
  • 2 mars 2017 - 15 h 39 min

    @emilio : Ok, merci.

    Répondre
  • 2 mars 2017 - 16 h 13 min

    @SaM: D’autant plus que si l’on connecte le chromebook sur un réseau sans interception HTTPS (à condition qu’il ne soit pas programmé à ne fonctionner que derrière un VPN derrière la middlebox qui intercepte les connexions), il fonctionnera parfaitement. Le souci vient uniquement du fait que le réseau analyse et modifie le contenu des échanges, et quand il ne reconnaît pas la session HTTPS, il bloque !

    Répondre
  • 3 mars 2017 - 0 h 20 min

    Le fait que l’article source provienne de ZDNet.com ne m’étonne pas vraiment. Depuis l’existence de Chrome OS, il y a eu de dizaines d’articles sur ce site, visant essentiellement à « casser » le système d’exploitation de Google.

    Certains rédacteurs sont clairement très pro-Microsoft.

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *