Gabriel V.
En contexte : Chrome a révolutionné le développement des navigateurs avec son cycle de mise à jour et de publication accéléré. Maintenant, Google a annoncé un autre changement potentiellement perturbateur visant à améliorer la sécurité web des utilisateurs. Cette transition devrait entraîner davantage de travail pour les développeurs de navigateurs tiers basés sur Chromium.
À partir de Chrome 116, prévu pour le 15 août, Google déploiera une nouvelle mise à jour pour son navigateur web gratuit chaque semaine. Mountain View a choisi d’accélérer le cycle de publication de Chrome principalement pour des raisons de sécurité, chaque mise à jour traitant des vulnérabilités de sécurité tests et d’autres bugs à fort impact.
Ce rythme de publication hebdomadaire n’affectera pas la distribution des versions « milestone » mensuelles de Chrome, comme l’a précisé Google sur son Security Blog. La société intensifie essentiellement le calendrier de « Stable Refresh », qui apportait une mise à jour de sécurité entre deux étapes distinctes, mais passe maintenant à un rythme hebdomadaire plus pratique.
Google a déclaré que l’instauration d’une mise à jour hebdomadaire du canal Stable est essentielle en raison du fondement de Chrome sur le projet open-source Chromium. Lorsqu’un bug de sécurité est corrigé dans le codebase de Chromium, la correction devient visible et accessible à tous, y compris aux cybercriminels. Cette plus grande visibilité offre aux acteurs malveillants une opportunité accrue d’examiner et potentiellement de tirer parti de la vulnérabilité récemment corrigée.
La pratique consistant à exploiter une vulnérabilité de sécurité connue et corrigée est appelée « exploitation n-day », comme l’explique Google. Les utilisateurs des canaux Canary et Beta reçoivent des corrections de bugs à l’avance, ce qui leur permet de tester le nouveau code pour des problèmes potentiels de fiabilité et de performance. Reconnaissant l’importance de réduire au maximum l’écart entre les mises à jour, Google a décidé de mettre en place un cycle de mises à jour de sécurité hebdomadaire pour les utilisateurs stables.
En 2020, Google réfléchissait déjà à réduire l’écart de correction, en initiant la publication de nouvelles mises à jour de sécurité du canal Stable toutes les deux semaines entre deux versions de Chrome milestone.
Selon Google, Chrome aura bientôt une fenêtre considérablement réduite pour les exploitations n-day par des entités malveillantes. Cependant, il est important de noter que d’autres navigateurs basés sur Chromium peuvent ne pas adopter la même approche. Google ne peut pas contrôler la fréquence des mises à jour des navigateurs tiers, qui peuvent présenter des écarts de correction variables malgré le fait qu’ils soient basés sur le même moteur Chromium.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
