Actualités
Actualités Tech

Avec le fantôme toujours caché, Google cherche à protéger le Web


C’était encore plus plus de trois ans depuis que les chercheurs ont révélé une paire de failles de sécurité, appelé Spectre et MeltdownCela a révélé des failles fondamentales dans la manière dont la plupart des microprocesseurs informatiques modernes traitent les données pour maximiser l’efficacité. Bien qu’elles affectent un grand nombre de dispositifs informatiques, les erreurs d’exécution dites spéculatives sont relativement difficiles à exploiter dans la pratique. Mais maintenant, les chercheurs de Google ont développé un concept de preuve qui montre le danger que représentent les attaques Spectre pour les navigateurs – dans l’espoir de favoriser une nouvelle génération de défense.

Les chercheurs n’ont jamais douté que Spectre peut exploité pour les attaques basées sur le navigateur. Chaque programme qui s’exécute sur un ordinateur exécute ses instructions et traite ses données via le processeur et la mémoire de l’ordinateur, rendant toutes ces informations vulnérables aux attaques d’exécution spéculative. Cela inclut les navigateurs, le téléchargement de données à partir de serveurs Web, puis le rendu du contenu sur l’appareil de chaque utilisateur via une fonctionnalité locale appelée moteur de rendu. Une attaque de navigateur Spectre lancera essentiellement une attaque à partir d’un site Web visité par la victime pour obtenir des données d’autres sites qu’elle a ouverts. De tels hacks peuvent même être utilisés pour usurper l’identité d’une cible afin d’obtenir davantage de leurs données à partir des applications Web auxquelles elles sont connectées.

Dans les années qui ont suivi les premières révélations de Spectre et Meltdown, ce type d’attaque particulier n’a jamais été vu dans la nature, et on ne sait pas à quel point cette approche est pratique. La preuve de concept de Google contre son propre navigateur Chrome illustre non seulement la viabilité, mais suggère également des stratégies pour les navigateurs et les développeurs Web pour une protection plus complète contre les attaques.

Stephen Röttger, ingénieur en sécurité chez Google, a déclaré: «Lorsque j’ai partagé l’exploit avec l’équipe de sécurité de Chrome et l’équipe de sécurité du produit, à l’époque tout le monde a dit » OK, wow, c’est très clair. C’est l’impact « . « Sur cette base, nous avons pris une série de décisions pour consacrer plus de ressources au déploiement des systèmes de défense Spectre sur nos frameworks Web. »

Au cours des dernières années, Chrome et d’autres navigateurs grand public ont mis en œuvre une méthode appelée « mise en quarantaine de sites Web » pour afficher les pages Web séparément et combiner leurs données. Étant donné que les attaques Spectre visent toutes à faire en sorte que le processeur fuit des données au moment opportun, l’isolement du site Web rend beaucoup plus difficile pour les pirates d’obtenir les informations sensibles qu’ils veulent, car les données ne le sont pas. Tout passe par le processeur au même endroit. . à la fois. Les navigateurs ont également ajouté des protections pertinentes pour le chargement d’éléments d’un site Web individuel (comme le logo d’une entreprise par rapport aux publicités tierces) et pour empêcher les données de circuler à travers tout cela.Deux directions entre deux pages lorsque la réciprocité n’est pas importante.

Ces types de défenses ne bloquent pas complètement les attaques Spectre. Au lieu de cela, ils réduisent la probabilité qu’un méchant puisse obtenir des informations utiles ou privées du processeur s’il effectue un tel piratage. La preuve de concept de Röttger et de ses collègues montre des façons plus nuancées que les navigateurs, y compris ceux à base de chrome, préfèrent Microsoft EdgeCes types de défense peuvent être exercés. Mais il met également en évidence les moyens par lesquels les développeurs Web peuvent architecturer leurs plates-formes et applications différemment pour maintenir les fonctionnalités tout en verrouillant les informations utilisateur de manière plus stratégique.

«Nous pensions que nous étions intéressés par ce que les développeurs devaient faire pour se protéger», a déclaré Mike West, responsable de la sécurité de la plate-forme Chrome et qui dirige le site Web du World Wide Web Consortium. Ils sont un groupe de travail pour la sécurité des applications. «Le vrai travail et la raison pour laquelle les navigateurs ne peuvent pas le faire au nom d’un développeur est que les décisions à prendre sont spécifiques à l’application. Ils impliqueront d’analyser ce que votre serveur fournit à Internet et les moyens par lesquels ceux-ci doivent être fournis. « 

Google travaille par le biais du W3C, un organisme de normalisation international, pour recommander des principes et des meilleures pratiques pour les navigateurs et les développeurs Web. Cette stratégie a déjà fonctionné avec Google, ainsi que dans ses efforts pour aider mouvement de l’aiguille sur de grandes initiatives comme annoncer HTTPS cryptage Web. Mais West admet qu’il faut du temps pour mettre en place l’ensemble de la communauté Web avec ce genre de changements structurels.



Source link

Laissez un commentaire