Google Chrome, Saint Graal de la sécurité du navigateur Web ?
Pour le chercheur Dino Dai Zov, 2010 sera l’année de la mise en quarantaine des processus de traitement de données réputées peu sûres. Une voie ouverte, notamment, par Google avec son navigateur Web, Chrome, qui fait là figure de précurseur. Si, assurément, il n’est pas le seul, il montre clairement la voie. Et Dino Dai Zov de pointer avec espièglerie Adobe, grand absent de ces réflexions avec un Flash, qui accumule les problèmes de sécurité.
Une seule prédiction, c’est modeste de la part d’un spécialiste de la sécurité alors que les éditeurs du secteur n’ont pas manqué de les multiplier au cours des dernières semaines. Mais Dino Dai Zov, chercheur en sécurité auteur d’un guide complet sur les vulnérabilités de Mac OS X Leopard mais aussi, dès 2006, de travaux sur la sécurité des hyperviseurs, préfère se concentrer, non pas sur les menaces à venir, mais sur les moyens de lutter contre elles. Et justement, sa prédiction pour 2010 porte ce point.
Dans un billet de blog, Dino Dai Zov estime que cette année sera celle de la gestion, par les applications des postes de travail, des processus de traitement des données non réputées sûres dans des bacs à sable.
Pourquoi ? Tout simplement parce que « la sécurité […], c’est une question de données. » Pour lui, « la surface d’attaque », ce sont les données « avec lesquelles interagissent les données contrôlées par » l’attaquant, « ainsi que les données sensibles auxquelles le pirate peut avoir accès s’il exploite une vulnérabilité du logiciel. » Pour lui, typiquement, le pare-feu réduit la surface d’attaque au niveau du réseau mais ne fait rien en ce qui concerne un poste de travail ouvert sur Internet. Une question de périmètre, en somme.
Et justement, réduire ce périmètre, c’est assurer le traitement de données sur lesquelles l’ordinateur n’a aucune garantie d’innocuité dans des bacs à sable. Check Point qui, avec son logiciel ZoneAlarm ForceField fait tourner l’intégralité du navigateur Web dans une machine virtuelle, ne contredirait probablement pas cette analyse.
Chrome, un métal dont seront faits plusieurs applications en 2010
Dino Dai Zov rappelle que « Vista a introduit le mode protégé d’Internet Explorer, un pas dans la bonne direction. » Mais c’est peut-être Google Chrome qui va le plus loin : il « assure le traitement de l’essentiel des données non sûres dans des processus de rendu en bac à sable. » En clair, chaque processus de rendu d’une page Web est totalement isolée du reste des processus de l’application.
Reste que d’autres applications – d’où la prédiction – devraient lui emboîter le pas. Encore que certains l’aient déjà fait. Microsoft Office 2010 devrait disposer d’une fonctionnalité comparable. Dino Dai Zov relève également qu’Apple a injecté une part de bac-à-sable dans ses OS clients Leopard et Snow Leopard, pour certains services réseau, certains démons – logiciels s’exécutant en tâche de fond de manière transparente pour l’utilisateur –, ou encore pour le système de prévisualisation QuickLook utilisé par Finder et Mail.
Reste un absent de taille dans cette liste : Adobe, dont les Flash et Adobe Reader constituent des cibles de choix pour les pirates, compte tenu de leur diffusion. Et Dino Dai Zov d’interroger l'éditeur de San Jose avec une pointe d’espièglerie : « et toi ? »