L’un des arguments phares de Google pour vendre son Chrome OS, c’est la sécurité de son système et ce dès son démarrage grâce au cloud. Cependant, il semblerait que cette sécurité soit remise en question.

En effet lors de la célèbre de conférence de sécurité Black Hat 2011, deux chercheurs (Matt Johansen et Kyle Osborn de la société White Hat Security) ont réussi à exploiter une faille de sécurité du Web, pour récupérer toutes les informations en clair de l’utilisateur connecté.

Ils ont pour cela réalisé une attaque de cross-site scripting : un script a été déployé sur un site et réaliser une injection de code dans une extension de Chrome OS (Scratchpad : outil de prise de notes et synchronisation avec Google Docs). Le butin de leur opération : l’accès à toutes les données personnelles de l’utilisateur, notamment son identifiant, son mot de passe, mais surtout ses informations bancaires sans cryptage.

Google clame une faiblesse du web, mais travaille cependant avec ces chercheurs pour combler la faille de son OS.