Les Chromebooks en fin de support n’auront pas de patch pour Meltdown et Spectre

Alors que les failles Meltdown et Spectre s’avèrent de jour en jour toujours plus inquiétantes, on apprend que les Chromebooks les plus anciens, ceux qui n’ont plus de support logiciel, ne seront pas mis à jour contre ces vulnérabilités.

C’est ce qui est est prévu dans le contrat, les Chromebooks ont un support défini de 5 années pendant lesquels leur sécurité est prise en charge. Pendant les 5 années qui suivent votre achat, vos machines reçoivent les patchs de sécurité, les mises à jour de ChromeOS et autres éléments d’optimisation du système. Au delà de cette limite de 5 ans, il n’y a plus de support.

Acer ChromeBook AC700

Le Acer Chromebook AC700, un des premier jamais sorti.

Ce n’est généralement pas un gros problème puisque les engins sont toujours fonctionnels et si on peut craindre pour la sécurité de ses données, on reste sur un support largement moins massivement déployé que les autres systèmes de Microsoft par exemple. Rendant plus hasardeux la possibilité d’un retour sur investissement pour un pirate développant du code pour sniffer vos informations.

Le problème change un peu pour les nouvelles failles Meltdown et Spectre. Car si les tous premiers Netbooks n’auront pas droit à de nouvelles mises à jour, il est facile d’imaginer un développement rentable de ces failles qui visent des gens qui ont confié en grande partie leur vie numérique à Google.

EOL Chromebooks

Pas d’efforts particulier a priori de la part de Google et de ses partenaires pour les machines déjà vieilles de 5 ans sur ce segment. Ce qui constitue une véritable mine d’or à creuser pour les pirates. Plusieurs machines sont déjà en EOL et elles sont listées en détail par les constructeurs. On peut par exemple se référer à ce tableau pour découvrir la liste des machines n’ayant plus de support et donc éventuellement sensible aux failles Meltdown1 et Spectre2.  Et préparer des scripts sur mesure pour les rechercher et les attaquer.

C’est à mon sens dans l’intérêt de Google de faire une entorse à cette fin de support pour les deux vulnérabilités qui viennent d’être révélées car si des attaques de masse se dirigent sur les Chromebooks en fin de support, la confiance établie dans tout l’écosystème sera ébranlée. D’un autre côté, pour Google, c’est mettre le doigt dans l’engrenage de l’exception et les constructeurs comme les utilisateurs ne comprendraient pas pourquoi une éventuelle autre vulnérabilité ne serait pas couverte par le support d’ici un an ou deux si un effort a été fait sur Meltdown et spectre. On pourrait arguer que la différence est dans la réalité matérielle de la vulnérabilité face aux habituels problèmes logiciels… Mais dans la pratique, cela engage surtout un support sans fin pour Google.

Google Chrome Notebook Cr-48

L’iconique Google Chromebook CR-48 n’aura pas droit à son patch…

Le vrai souci de cette réalité de support limité par Google est que les Chromebooks ont bâti leur réputation sur le fait que l’utilisateur n’avait pas à se soucier de quoi que ce soit d’un point de vue support. La machine se mettant à jour toute seule et sans que l’on puisse y faire grand chose. Un état qui a même poussé certains acheteurs à choisir ChromeOS plutôt qu’une alternative classique. Au final, alors que des engins sous Windows 7 sorti en 2009 ont droit à des mises à jour pour limiter les dégâts, que le noyau Linux va avoir droit aux bons soins de ses développeurs, les machines de Google supposées ultra robustes d’un point de vue sécurité seront mises volontairement à l’écart.

Ah oui, et pour rappel, mettez à  jour vos machines si vous le pouvez.

Source : ChromeUnboxed

 

Notes :

  1. Suivant les puces.
  2. Toutes.

Soutenez Minimachines avec un don mensuel : C'est la solution la plus souple et la plus intéressante pour moi. Vous pouvez participer via un abonnement mensuel en cliquant sur un lien ci dessous.
2,5€ par mois 5€ par mois 10€ par mois Le montant de votre choix

Gérez votre abonnement

29 commentaires sur ce sujet.
  • 12 janvier 2018 - 17 h 08 min

    Adeptes de la théorie du complot, ne trouvez-vous pas que les failles wifi KRAK et processeur MELTDOWN sont justes là pour faire bouger un parc de machines jugé beaucoup trop mature par les fabricants ???
    « Tout est relatif », nous a dit Einstein. Certains l’ont compris mieux que d’autres…

    Moi qui vantait encore il y a 2 jours ici même que la sécurité des chromebooks et bien, non, finalement, un processeur non fiable et tout est remis en cause.

    Le C720p est dans la liste des chromebooks qui n’auront pas de mise à jour.

    L’attitude de Google au sujet de l’obsolescence est au même niveau que celle d’Apple: merdique!

    Recyclez, s’il vous plait !

    https://chromeunboxed.com/news/chromebook-meltown-patch-page-google

    Répondre
  • 12 janvier 2018 - 18 h 12 min

    C’est de l’informatique donc c’est vite dépassé et comme il faut vendre ce qui arrive sur le marche ,les fabricants ont besoin de failles .

    C’est plus facile avec les OS qui demandent une certaine puissance ,genre Windows ou Apple ,c’est sur cela passe moins sous LINUX .

    Pourtant ,LINUX demande actuellement une machine déjà bien conçut .

    Pour exemple ,mon ACER R3 Windows 10 reçut hier ne veut pas se mettre a jour par manque de 1 Go sur le support de stockage .

    L’obsolète sur mon ACER c’est d’avoir 32 Go de SDD alorsque sur mon Asus équivalent a ce jour les mises a jours passent bien .

    Je pense que certain CHROMEBOOK obsolète finiront sous LINUX ou reviendront sous un Microsoft moins gourmand .
    Ceci dit ,un utilisateur de CHROME OS utilise aussi ANDROID ce qui fait que les nouvelles machines se vendront plutôt bien si celles ci arrivent en FRANCE bien sur .

    Répondre
  • 12 janvier 2018 - 19 h 25 min

    Donc le Toshiba Chromebook qui sort en février 2018 n’a déjà plus de support ? C’est bullshit cet article

    Répondre
  • 12 janvier 2018 - 19 h 31 min

    @Paul: Ou alors tu as un léger problème de compréhension peut être. En demandant poliment, on peut t’expliquer.

    Répondre
  • 12 janvier 2018 - 19 h 46 min

    Je ne suis pas du tout fan des Chromebooks mais je le suis encore moins des commentaires désobligeants…

    Je ne sais si tu as l’opportunité de rajouter un petit texte dans les commentaires, qui s’effacent lorsque l’on écrit un message, sans faire de pub je cite le comptoir du hardware, mais je crois que ce ne serait pas un luxe de rappeler à certains d’être plus respectueux.

    Bonne continuation a toi Pierre.

    Répondre
  • 12 janvier 2018 - 20 h 35 min

    Google le grand redresseur de torts qui ne patche pas ses machines. C’est joli et en terme d’image de marque c’est moche. Surtout qu’il n’y a officiellement aucun moyen de passer sur un autre OS alors qu’une machine de type windows ou macOS peut théoriquement se mettre à jour et seul la puissance limitera cette possibilité.

    Répondre
  • 12 janvier 2018 - 21 h 30 min

    Ils finiront tous sur l’étagère, un peu comme les tablettes Adam ou Windows RT

    Répondre
  • 12 janvier 2018 - 22 h 04 min

    Il faut savoir que ce n’est pas la première fois qu’on trouve un bug dans un processeur. Aller sur le site errata et en cherchant dans les documentations techniques des pdf de plus de 100 pages sur les correctifs à appliquer pour les contourner. Et tout les constructeurs en ont. Écouté le podcast no limit sécu sur meltdown et spectre. J’y ai appris pas mal de chose et on peut remercier les gens qui programme les OS, sans ça on changerai de matériels tout les 15 jours.

    Répondre
  • 12 janvier 2018 - 23 h 34 min

    Je me trompe peut-être, mais je n’ai pas le souvenir d’avoir vu Google ressentir de la pitié avec les appareils d’ancienne génération. En général, pour les smartphones Android, c’est assez sans pitié (genre 3 ans et après c’est mort, sauf si tu as de la chance d’avoir une ROM Custom).
    Du coup, je penche plus sur la seconde option de Pierre, à savoir l’absence de support sur ces vieilles machines. Les gens vont peut-être crier sur le coup, mais comme l’actu va vite les gens ont tendance à oublier…

    Répondre
  • 12 janvier 2018 - 23 h 40 min

    « End of life date… » Si c’était écrit en gros sur l’emballage on y réfléchirai à 2 fois avant de craquer pour du neuf, et encore plus pour de la seconde main…

    Répondre
  • 13 janvier 2018 - 7 h 42 min

    ben il ya plus qu’a les passer sous linux et on en parle plus
    les alternative existent, même certaines qui « ressemblent » et ont le même comportement que chromeos
    via crouton, galliumOS ou flint os

    ils resteront pas si longtemps que ça sur l’étagère je pense (et seront peut être même recherché par des bidouilleurs avertis comme pour le laptop motorola atrix)

    à suivre

    sinon, hier, j’ai eu un patch linux-amd64

    les patch arrivent il semblerait (même si c’est loin d’être finit)

    par contre, pour les smartphone, la galère !
    (même avec mon VPN, je suis pas sur de « surfez couvert » avec la faille spectre)
    je suis content d’avoir des RPI sous la main pour mes opérations bancaires moi

    Répondre
  • 13 janvier 2018 - 8 h 47 min

    @orangina rouge:
    Crouton permet d’executer un rootfs Linux sur le noyau de Chome, sorte de chroot poussé… Et Metldown est avant tout une faille matérielle impactant le noyau.
    Same player try to understand again?

    Répondre
  • fab
    13 janvier 2018 - 9 h 09 min

    Pour les produits dont les constructeurs ne veulent plus assurer le suivi, ne devrait-on pas les obliger à rendre les sources publiques pour que la communauté puisse prendre le relais ?

    Répondre
  • fff
    13 janvier 2018 - 9 h 41 min

    Ce serait certes un plus de patcher ces machines, mais justement sur des Chromebooks l’impact semble limité tant les portes d’entrée sont peu nombreuses ? Il faudrait soit fournir une application malhonnête via le store, soit exploiter Chrome, qui de toute façon prend des mesures de « mitigation » spécifiques non ?

    Répondre
  • 13 janvier 2018 - 10 h 26 min

    @yann: pour les bécanes chromebook en ARM, point de salut, certes.
    mais pour les vraiment vieux chromebook, je cite galium os car c’est un « vrai » linux
    donc quand les patch seront sortis, ce sera bon (voir le wiki, les vieux sont bien supportés justement et donc un vrai linux)

    pour flint os, je sais qu’il marche sur certain ARM (genre RPI) donc à voir si ça marchera dessus

    sinon, toute les archi sont pas impacté, les RPI non par exemple (voir le billet sur le site du projet)
    pour les X86-64, oui il faut attendre les patchs (et le peu de baisse de perf qu’on aura en tant que particuliers, même si un chromebook sous linux, les utilisateurs ne verront rien vu l’usage)

    ça a du bon les vielles casseroles :)

    ceci dit, les chromebook, ils ont aussi le soucis du WPA2
    donc au final, les garder jusqu’à ce que ça au moins soit réglé et changer à ce moment là

    Répondre
  • 13 janvier 2018 - 10 h 29 min

    ‘LLo,

    Ouaip, assez d’accord si j’ai bien compris la dernière phrase typiquement « flipperienne » (même si je flirte largement avec mon seuil d’incompétence). Si le noyau originel n’est pas patché…

    Répondre
  • 13 janvier 2018 - 10 h 45 min

    @fassil: …tout faire pour en changé.
    et oui

    Répondre
  • 13 janvier 2018 - 10 h 45 min

    changer sorry (sur mon tel, je pars)
    bon week end à tous !

    Répondre
  • 13 janvier 2018 - 10 h 54 min

    @orangina rouge:
    Forcément, le A53 est in-order. Pas d’exécution spéculative, au coeur des failles objet de l’article, ce qui ne serait pas le cas de son grand frère A72 (pour se limiter aux ARM récents, cad enfin 64bit même si la fondation PI ne daigne toujours pas se sortir les doigts du c.. sous de faux pretextes de compatibilité car ils supportent déjà deux familles ARM… pour sortir une version l’exploitant).
    Les Atom des netbooks anciens (ceux sortis, disons, entre 2008 et 2012) ne sont pas concernés pour les mêmes raisons.

    Répondre
  • 13 janvier 2018 - 15 h 46 min

    @yann: Je sais pas pour Orangina rouge, mais moi pas comprendre ce que toi vouloir dire, ô divinité du monde informatique:

    Le noyau linux de chromeOS, il est mis à jour avec un patch anti-caca ou pas ? J’avais dans l’idée que lorsqu’on bascule de chromeOS vers ubuntu (après-installation dudit Ubuntu via crouton), on utilisait le même noyau. Donc, si celui ci ne sait pas traiter la faille car il n’a pas été mis à jour par Google, cela ne sert à rien.

    La seule solution serait de complétement passer à Linux…moi y en a compris, là ?

    Répondre
  • 14 janvier 2018 - 18 h 18 min

    Windows 7 n’aura pas plus de support étant donné le nombre d’utilisateurs qui n’ont plus de mise à jour depuis des années.

    Répondre
  • 14 janvier 2018 - 18 h 35 min
  • 15 janvier 2018 - 6 h 18 min

    Que le fabricant décide d’une durée limité de support est une chose (légale mais mal encadrée jusqu’à présent). Que le fabricant se dédouane totalement d’un vice caché aussi important, quand bien même il n’est pas le fabricant du processeur, est un scandal et est illégal.
    J’espère que des associations de consommateurs entament des actions de groupe contre Intel, AMD etc… mais aussi contre les OEM qui refusent de respecter leurs clients.

    Répondre
  • 15 janvier 2018 - 22 h 07 min

    C’est bizarre tout ça, d’apres ce site officiel, https://www.chromium.org/chromium-os/developer-information-for-chrome-os-devices l’acer c720 et le hp 14 sont sortis en septembre 2013, leur fin de vie est 5 ans apres, donc en octobre 2018.

    La plus part de ces modèles auront surment encore quelques mise à jour, ça met juste un peu plus de temps.

    Apres il vaudra mieux les passer sous linux probablement.

    Répondre
  • 16 janvier 2018 - 10 h 16 min

    C’est vraiment abusé, tout ça pour forcer les utilisateurs à repasser à la caisse si ils veulent être protégés de ces failles de sécurité…

    Répondre
  • 23 janvier 2018 - 9 h 44 min

    C’est honteux je trouve de la part de Google, personnellement je comptais en acheter un mais si c’est pour se faire abandonner par le support même en cas de faille majeure, non merci, je reste sous Windaube, eux au moins ils essayent de protéger leurs vieux utilisateurs!

    Répondre
  • 27 août 2019 - 18 h 40 min

    Salut les copains,
    Possédant un Chromebook ASUS C300 moi-même et venant à peine de recevoir la notif « plus de màj pour vous merci bisous », je voulais savoir si c’était possible pour un relatif novice de complètement passer à Linux comme suggéré par Brousse… Faisable? Complexe?
    J’espère que qqn traîne toujours sur ces vieux commentaires…

    Répondre
  • 28 août 2019 - 5 h 58 min

    @liche: chacun colle un peu ce qu’il veut derrière le mot « novice ». Alors « relatif novice »… 😶

    Je ne suis pas très doué dans ce domaine, mais j’ai cru comprendre que pour remplacer *complètement* Chrome OS par Linux, il ne faut pas être allergique aux lignes de commande. À voir avec ton niveau de noviciat…

    Dans le cas spécifique de ta machine, une description de la façon d’installer Debian existe ici : http://debian-facile.org/viewtopic.php?id=14052

    Si tu préfères Ubuntu, il y a une page générique ici : https://doc.ubuntu-fr.org/chromebook

    Mais lis quand même la première page citée qui contient des détails propres à ta machine. (Le déverrouillage *physique* du BIOS, ça ne s’invente pas.)

    Tiens-nous au courant de tes essais. a peut en intéresser d’autres

    Répondre
  • 29 mars 2022 - 9 h 59 min

    @liche:

    Bonjour,
    Oui c’est possible il y a toujours de nombreux tutoriels en ligne, très bien expliqué !
    Cordialement,

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *