Mardi 2 septembre 2008
2
02
/09
/Sep
/2008
21:37
-
Publié dans : Veille sécurité
Comme beaucoup d'autres visiblement, ma curiosité envers le "nouveau bébé" de Google s'est ranimée à l'annonce de la sortie du "fureteur à la Goooogle".
Je l'ai donc téléchargé et installé.
Config de test :
- Vista Pro SP1
- Firefox 3.0.1 (je précise pour la suite)
- K.I.S 2009
- DNS primaire de la machine : OpenDNS Resolver1 : 208.67.222.222
- DNS secondaire : adresse de la "boîte" ADSL : le bon vieux 192.168.1.1
Installation :
Fidèle à l'habitude de Google, c'est du "tout automatisé", dès l'instant qu'on clique sur "Accepter et installer", en validant donc de facto les conditions d'utilisation...
L'URL (la vraie) de téléchargement est la suivante :
http://dl.google.com/update2/installers/ChromeSetup.exe
On peut déjà remarquer la case à cocher (ou pas) : "Facultatif : Aidez-nous à améliorer Google Chrome en envoyant automatiquement des statistiques d'utilisation et des rapports d'erreur à Google."
Vu que l'installation se déroule de façon transparente dans le navigateur (fenêtre apparaissant au premier plan), ce clic pourrait avoir des effets sur les paramétrages directement durant l'installation de Google Chrome.
Me mettant à la place d'un utilisateur bienveillant (y compris au sein d'une Entreprise, sur un PC pro...), je décide de cocher la fameuse case pour "aider à améliorer Google"......
1er démarrage :
Chrome a la capacité de détecter la présence de Firefox sur la machine (pas de mention de celle de Internet Explorer 7...). Chrome propose dès la fin de l'installation d'importer des informations de Firefox, notamment les favoris.
Petit couac, il faut fermer Firefox pour que cela fonctionne, alors qu'on vient justement de lancer le téléchargement + installation de Chrome... à partir de Firefox.
Passé cette étape, Chrome démarre enfin, réellement.
Et là, ce qui frappe, ce sont les nombreuses alertes du Firewall !
Voici une capture d'écran du trafic généré par Chrome, à son démarrage, alors que je n'avais demandé strictement aucune URL ! lien de la capture décran de la surveillance réseau de K.I.S 2009 si l'image ne s'affiche pas :
L'examen des logs du pare-feu peut amener à se poser des questions.
Que sont exactement les URL/IP suivantes
- TCP : ik-in-f100.google.com | 66.249.99.100 | port 80
- UDP : ? | 224.0.0.252 | port 5355 ???
- TCP : ? | 74.125.77.147 | port 443 ???
- TCP : ? | 199.7.58.72 | port 80
Avec autant de connexions dès le démarrage, y compris en HTTPS, que fait Google ?...
Car c'est bien Google qui écoute le HTTPS sur 74.125.77.147
D'autant que le système utilisé est plutot bien pensé :
- pas ou peu de résolution de nom, ce qui complique la tâche des filtrages de contenu (ex : proxy HTTP), mais aussi réduit aussi la chance de pister ces connexions dans des rapports statistiques de navigation (une IP c'est plus discret...)
- connexion en HTTPS, qui comme on le sait, est relativement peu filtré en entreprise.
Bref, des idées afin de permettre à un maximum de données, générées par Chrome, de remonter à qui les écoute.
Etude des connexions après redémarrage de Chrome :
En fermant et ré-ouvrant G Chrome, d'autres connexions (encore plus obscures ?) apparaissent :
- TCP : 66.249.93.100
- TCP : 66.249.91.113
- TCP : 66.249.91.127
- TCP : 224.0.0.252
- TCP : 74.125.8.151
etc. !
Au passage, ces IP sont reférencées sur d'autres sites (devinez avec quoi on peut faire la recherche...).
Pas beaucoup d'informations pour ces URL... via RIPE.
Mais en cherchant différemment : 66.249.91.0 : propriétaire = Google Inc.
Idem pour 75.125.8.0
Cependant, il se trouve que si l'on examine un peu ces adresses, notamment 66.249.93.100, ce qui répond derrière ressemblerait à un proxy !!
En effet, l'IP répond sur le port 80, et on peut surfer en l'indiquant comme proxy HTTP dans le navigateur...
S'agit-il de proxy d'anonymat ? pas tout à fait.
Pour être plus exact, on peut surfer avec 66.249.93.100:80 comme proxy HTTP, mais.... on ne peut aller que sur des sites hébergés directement chez Google !!
Cette pseudo liberté de navigation inclue visiblement la plupart des services de Google, tels que Google Docs, avec toujours accès personnalisé selon l'adresse GMail de l'utilisateur.
Je n'ai malheureusement pas le détail des permissions offertes par ces serveurs mandataires HTTP.
La question se pose donc : à quoi servent ces connexions sur ce qui semble être des proxies HTTP en accès restreint ?
------------------------------------------------------------------------------------------------------------------------------------------------------------
Fonctionnalités remarquables :
Google Chrome est capable de "corriger" les fautes de frappe des internautes, lorsqu'ils saisissent des URL !
Enfin un navigateur un peu intelligent sur ce point ! (ce n'est pas une nouveauté pour ceux qui ont utilisé les OpenDNS...)
Voici un petit exemple avec "meteofrance.com".
Autres exemples :
- www.googlecom = > redirigé vers recherche Google... de googlecom.
Cette fonctionnalité a des impacts assez forts à mon sens au niveau sécurité : Chrome va automatiquement proposer de "vrais sites" aux utilisateurs, si leur orthographe est proche de l'URL tapée.
Google a eu également la bonne idée de proposer la recherche sur son moteur, qui comme on le sait, corrige certaines fautes de frappe, et propose des résultats pour des sites "voisin" au niveau syntaxical.
Mais cette technologie ne permet (à priori) malheureusement pas d'éviter des cas comme :
- www.pagejaune.com
- www.goole.com/
etc
On peut remarquer aussi que Chrome affiche en gras le nom réel du domaine où l'on navigue (en temps réel).
C'est le même principe que l'extension LocationBar de Firefox : diminuer les risques de "filouter" les utilisateurs en leur affichant en gros en gras, l'adresse réelle du site sur lequel ils sont.
===========================================================================================
Je vais m'arrêter pour un premier jet.
En résumé, il ressort que Google Chrome semble attractif, non seulement parce qu'il a l'étiquette Google, mais aussi pour ses fonctionnalités (à voir à l'usage).
Attention cependant
- au trafic réseau qu'il génère : http / https et IP distantes "anonymes" = > fuite d'info / suivi du trafic réseau difficile
- à son installation "transparente" et facile depuis un navigateur "quelconque" = > invasion des parcs informatiques existants...
- au bruit entourant sa sortie, qui contribue déjà à sa popularité
Une dernière petite note, en attendant confirmation par de plus amples tests : attention à la bande passante que Google Chrome demande (avec seulement 3 sites visités, je suis déjà à 7Mo de téléchargés...) !
Comme toujours, je posterai de plus amples informations dès que possible.
Je l'ai donc téléchargé et installé.
Config de test :
- Vista Pro SP1
- Firefox 3.0.1 (je précise pour la suite)
- K.I.S 2009
- DNS primaire de la machine : OpenDNS Resolver1 : 208.67.222.222
- DNS secondaire : adresse de la "boîte" ADSL : le bon vieux 192.168.1.1
Installation :
Fidèle à l'habitude de Google, c'est du "tout automatisé", dès l'instant qu'on clique sur "Accepter et installer", en validant donc de facto les conditions d'utilisation...
L'URL (la vraie) de téléchargement est la suivante :
http://dl.google.com/update2/installers/ChromeSetup.exe
On peut déjà remarquer la case à cocher (ou pas) : "Facultatif : Aidez-nous à améliorer Google Chrome en envoyant automatiquement des statistiques d'utilisation et des rapports d'erreur à Google."
Vu que l'installation se déroule de façon transparente dans le navigateur (fenêtre apparaissant au premier plan), ce clic pourrait avoir des effets sur les paramétrages directement durant l'installation de Google Chrome.
Me mettant à la place d'un utilisateur bienveillant (y compris au sein d'une Entreprise, sur un PC pro...), je décide de cocher la fameuse case pour "aider à améliorer Google"......
1er démarrage :
Chrome a la capacité de détecter la présence de Firefox sur la machine (pas de mention de celle de Internet Explorer 7...). Chrome propose dès la fin de l'installation d'importer des informations de Firefox, notamment les favoris.
Petit couac, il faut fermer Firefox pour que cela fonctionne, alors qu'on vient justement de lancer le téléchargement + installation de Chrome... à partir de Firefox.
Passé cette étape, Chrome démarre enfin, réellement.
Et là, ce qui frappe, ce sont les nombreuses alertes du Firewall !
Voici une capture d'écran du trafic généré par Chrome, à son démarrage, alors que je n'avais demandé strictement aucune URL ! lien de la capture décran de la surveillance réseau de K.I.S 2009 si l'image ne s'affiche pas :
L'examen des logs du pare-feu peut amener à se poser des questions.
Que sont exactement les URL/IP suivantes
- TCP : ik-in-f100.google.com | 66.249.99.100 | port 80
- UDP : ? | 224.0.0.252 | port 5355 ???
- TCP : ? | 74.125.77.147 | port 443 ???
- TCP : ? | 199.7.58.72 | port 80
Avec autant de connexions dès le démarrage, y compris en HTTPS, que fait Google ?...
Car c'est bien Google qui écoute le HTTPS sur 74.125.77.147
D'autant que le système utilisé est plutot bien pensé :
- pas ou peu de résolution de nom, ce qui complique la tâche des filtrages de contenu (ex : proxy HTTP), mais aussi réduit aussi la chance de pister ces connexions dans des rapports statistiques de navigation (une IP c'est plus discret...)
- connexion en HTTPS, qui comme on le sait, est relativement peu filtré en entreprise.
Bref, des idées afin de permettre à un maximum de données, générées par Chrome, de remonter à qui les écoute.
Etude des connexions après redémarrage de Chrome :
En fermant et ré-ouvrant G Chrome, d'autres connexions (encore plus obscures ?) apparaissent :
- TCP : 66.249.93.100
- TCP : 66.249.91.113
- TCP : 66.249.91.127
- TCP : 224.0.0.252
- TCP : 74.125.8.151
etc. !
Au passage, ces IP sont reférencées sur d'autres sites (devinez avec quoi on peut faire la recherche...).
Pas beaucoup d'informations pour ces URL... via RIPE.
Mais en cherchant différemment : 66.249.91.0 : propriétaire = Google Inc.
Idem pour 75.125.8.0
Cependant, il se trouve que si l'on examine un peu ces adresses, notamment 66.249.93.100, ce qui répond derrière ressemblerait à un proxy !!
En effet, l'IP répond sur le port 80, et on peut surfer en l'indiquant comme proxy HTTP dans le navigateur...
S'agit-il de proxy d'anonymat ? pas tout à fait.
Pour être plus exact, on peut surfer avec 66.249.93.100:80 comme proxy HTTP, mais.... on ne peut aller que sur des sites hébergés directement chez Google !!
Cette pseudo liberté de navigation inclue visiblement la plupart des services de Google, tels que Google Docs, avec toujours accès personnalisé selon l'adresse GMail de l'utilisateur.
Je n'ai malheureusement pas le détail des permissions offertes par ces serveurs mandataires HTTP.
La question se pose donc : à quoi servent ces connexions sur ce qui semble être des proxies HTTP en accès restreint ?
------------------------------------------------------------------------------------------------------------------------------------------------------------
Fonctionnalités remarquables :
Google Chrome est capable de "corriger" les fautes de frappe des internautes, lorsqu'ils saisissent des URL !
Enfin un navigateur un peu intelligent sur ce point ! (ce n'est pas une nouveauté pour ceux qui ont utilisé les OpenDNS...)
Voici un petit exemple avec "meteofrance.com".
Autres exemples :
- www.googlecom = > redirigé vers recherche Google... de googlecom.
Cette fonctionnalité a des impacts assez forts à mon sens au niveau sécurité : Chrome va automatiquement proposer de "vrais sites" aux utilisateurs, si leur orthographe est proche de l'URL tapée.
Google a eu également la bonne idée de proposer la recherche sur son moteur, qui comme on le sait, corrige certaines fautes de frappe, et propose des résultats pour des sites "voisin" au niveau syntaxical.
Mais cette technologie ne permet (à priori) malheureusement pas d'éviter des cas comme :
- www.pagejaune.com
- www.goole.com/
etc
On peut remarquer aussi que Chrome affiche en gras le nom réel du domaine où l'on navigue (en temps réel).
C'est le même principe que l'extension LocationBar de Firefox : diminuer les risques de "filouter" les utilisateurs en leur affichant en gros en gras, l'adresse réelle du site sur lequel ils sont.
===========================================================================================
Je vais m'arrêter pour un premier jet.
En résumé, il ressort que Google Chrome semble attractif, non seulement parce qu'il a l'étiquette Google, mais aussi pour ses fonctionnalités (à voir à l'usage).
Attention cependant
- au trafic réseau qu'il génère : http / https et IP distantes "anonymes" = > fuite d'info / suivi du trafic réseau difficile
- à son installation "transparente" et facile depuis un navigateur "quelconque" = > invasion des parcs informatiques existants...
- au bruit entourant sa sortie, qui contribue déjà à sa popularité
Une dernière petite note, en attendant confirmation par de plus amples tests : attention à la bande passante que Google Chrome demande (avec seulement 3 sites visités, je suis déjà à 7Mo de téléchargés...) !
Comme toujours, je posterai de plus amples informations dès que possible.
