Au fil des années, le navigateur de Google est devenu une véritable forteresse que les hackers ont bien mal à pénétrer. La conséquence d’une stratégie technologique déployée de longue date.

Parmi tous les logiciels que nous utilisons au quotidien, le navigateur est certainement le plus important. Il nous sert à tout : chercher une info, lire les actualités, faire un virement bancaire, se connecter à nos applications professionnelles, etc. La sécurité du navigateur est donc cruciale. Mais lequel d’entre eux est le plus sécurisé ?

Si l’on se fie aux prouesses des hackers, il n’y a pas photo : la citadelle la plus imprenable est Chrome. A l’occasion de la dernière édition du concours de hack « Pwn2Own », le navigateur de Google a bien été pris pour cible, mais personne n’a réussi à le pirater. Au contraire, le prix de la passoire est revenu cette année à un nouvel entrant, Microsoft Edge, qui a été piraté cinq fois. Le bilan de Safari n’est pas terrible non plus, avec quatre attaques réussies. Firefox a réussi à limiter les dégâts, n’étant victime que d’un seul piratage.

Le bac à sable, une idée de génie

La bonne tenue de Chrome ne date pas d’hier. Si l’on additionne toutes les attaques de navigateurs de Pwn2Own depuis 2007, on remarque que le navigateur de Google est clairement le moins vulnérable avec seulement 7,5 attaques réussies, contre 9 pour Firefox, 11 pour Internet Explorer et 18 pour Safari. La stratégie de Google - qui a mis l’accent sur la sécurité dès le début de Chrome - a visiblement porté ses fruits.

Même les experts les plus critiques considèrent désormais ce logiciel comme la référence absolue en matière de sécurité. « Chrome est le navigateur le plus intrusif au niveau des données personnelles, mais paradoxalement c’est aussi le plus sécurisé. Google a dépensé un paquet d’argent pour vraiment blinder son navigateur (…) », a expliqué Christopher Soghoian, chercheur en sécurité informatique au sein de l’ACLU, une association de défense de libertés citoyennes.

Le militant américain a fait cette constatation à l’occasion de la conférence 33C3, qui s’est déroulée à Hambourg en décembre dernier, lors d’une présentation sur les capacités de hacking des forces de l’ordre, un phénomène qui prend beaucoup d’ampleur partout dans le monde. Selon lui, pour éviter de se faire pirater par FBI et consorts, il vaut mieux utiliser Chrome quand c’est possible.



Les raisons de ce succès sont multiples. Il s’explique tout d’abord par un choix technique judicieux, à savoir de créer un processus pour chaque page et de l’isoler du reste du système par un bac à sable. Cette architecture a été mise en place dès le début en 2008. Elle est assez gourmande en mémoire, mais elle rend les attaques beaucoup plus difficiles car le pirate est contraint d’enchaîner plusieurs failles de sécurité pour arriver à ses fins. Lors du concours « Pwnium » en 2012, le hacker Sergey Galzunov a été capable de réaliser une exécution de code arbitraire à distance au travers de Chrome, mais pour y arriver, il a dû enchaîner pas moins de… 14 failles. On voit donc que la barre est assez haute. La technique du bac à sable a également été implémentée par Apple dans Safari à partir de 2011. Elle commence tout juste à pointer le bout de son nez chez Firefox, au travers du projet Electrolysis.

Firefox à la traîne

Mais le niveau de protection de Chrome ne s’explique pas seulement par le bac à sable et le découpage en processus. Les ingénieurs de Google ont également intégré d’autres techniques de sécurité comme la distribution aléatoire de l’espace d’adressage (ASLR, Address Space Layout Randomization) ou des mécanismes anti-dépassement de mémoire tampon (Heap protection).

De ce point de vue, la qualité du code de Chrome semble remarquable. Les chercheurs en sécurité Peiter et Sarah Zatko, qui ont développé une méthode d’analyse de sécurité de logiciels, ont récemment placé leur microscope sur les navigateurs pour macOS. Ils ont présenté les résultats lors de la conférence DEFCON 24. Chrome a obtenu de loin le meilleur score dans les quatre catégories testées. De son côté, Firefox présentait de graves lacunes comme l’absence d’ASLR (cela a été corrigé depuis).



Enfin, Google fait également partie des éditeurs qui récompensent systématiquement et depuis longtemps les chercheurs qui trouvent des failles dans ses produits. En 2016, le géant informatique a versé plus de 3 millions de dollars en récompenses, dont un million de dollars rien que pour des failles dans Android et Chrome.

Une bonne architecture de base, un développement rigoureux, un budget conséquent dédié au débogage… On comprend mieux pourquoi, sur le plan de la sécurité, Chrome est passé devant les autres. Et il est très dommage que Firefox soit tellement à la traîne. C’est d’autant plus gênant que le logiciel open source forme la base de Tor Browser, un navigateur dédié à la sécurité et à l’anonymat. Il faut donc espérer que Firefox puisse rapidement retrouver une base saine et sécurisée.

Source: 01net.com