Google travaille sur une nouvelle fonctionnalité WebUSB illimitée, qui permet aux applications Web isolées de confiance de contourner les restrictions de sécurité de l’API WebUSB.

WebUSB est une API JavaScript qui permet aux applications Web d’accéder aux périphériques USB locaux sur un ordinateur. Dans le cadre de la spécification WebUSB, certaines classes d’interface sont protégées contre l’accès via des applications Web pour empêcher les scripts malveillants d’accéder à des données potentiellement sensibles.

La liste des classes d’interface protégées est audio, HID( Human Interface Device), stockage de masse, carte à puce, vidéo, périphériques audio/vidéo et contrôleur sans fil.

De plus, la spécification WebUSB inclut une liste de blocage de périphériques USB spécifiques auxquels l’API n’a pas accès, tels que les clés YubiKeys, les clés Google Titan et les clés de sécurité Feitian, qui sont utilisées pour l’authentification multifacteur.

Google teste actuellement une fonctionnalité « WebUSB illimité » qui permet aux applications Web isolées d’accéder à ces appareils et interfaces restreints.

« La spécification WebUSB définit une liste de blocage des périphériques vulnérables et un tableau des classes d’interfaces protégées dont l’accès est bloqué via WebUSB », a noté Google dans une mise à jour de l’état de Chrome.

« Avec cette fonctionnalité, les applications Web isolées autorisées à accéder à la fonctionnalité de stratégie d’autorisation » USB sans restriction  » seront autorisées à accéder aux périphériques bloqués et aux classes d’interface protégées. »

Les applications Web isolées sont des applications non hébergées sur des serveurs Web en direct, mais regroupées dans des ensembles Web, signées par leur développeur et distribuées aux utilisateurs finaux. Ils sont généralement créés pour que les entreprises les utilisent en interne.

Pour que cela fonctionne, ces applications Web doivent avoir l’autorisation d’utiliser la fonction « USB sans restriction ».

Lorsqu’une application disposant de cette autorisation tente d’accéder à un périphérique USB, le système vérifie d’abord s’il figure sur la liste de blocage des périphériques vulnérables. Si c’est le cas, le périphérique est normalement supprimé de la liste d’accès.

Cependant, cette restriction est contournée pour les applications Web avec l’autorisation » usb-unrestricted ».

Le système vérifie également si l’appareil figure sur la liste des appareils autorisés de l’application. Si ce n’est pas le cas, l’accès est refusé.

De plus, le système vérifiera si l’interface accédée est marquée comme protégée. Si c’est le cas et que l’application ne dispose pas de l’autorisation « usb-unrestricted », l’accès est refusé.

La fonctionnalité proposée par Google permet aux applications Web isolées de confiance d’accéder à une plus large gamme de périphériques USB, ce qui permet une plus grande fonctionnalité dans un cadre de confiance.

Google dit qu’il prévoit de l’expédier pour des tests dans Chome 128, qui devrait être publié en août 2024.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *