Le navigateur Firefox de Mozilla ne dispose pas encore de la fonctionnalité de sécurité d’isolation de site, mais des projets visant à la proposer sont en cours.
Le site d’actualité Bleeping Computer a pu visualiser un email associant son développement au Projet Fission, lequel ne doit pas être confondu avec le Projet Fusion concernant la refonte de la cybersécurité du navigateur Firefox, qui intégrera le navigateur Tor pour améliorer son mode de confidentialité qui est actuellement assez faible.
L’isolation de site, visant à empêcher un site web malveillant d’accéder aux données d’un autre onglet, existe déjà sous une forme basique grâce au concept, déjà ancien, de Same Origin Policy.
La Same Origin Policy empêche un site web de récupérer les données d’un site ouvert dans un onglet distinct, sans quoi par exemple, une connexion à un site bancaire lors de l’exécution d’un deuxième site web malveillant constituerait un risque majeur.
Cette option fonctionne bien jusqu’à ce qu’un cybercriminel découvre une vulnérabilité de sécurité qui va lui permettre de percer cette protection, comme cela a été le cas occasionnellement avec les vulnérabilités Universal Cross-site Scripting (UXSS) et d’éxécution de code à distance (RCE).
Mais ce qui semble avoir jeté un nouveau pavé dans la mare est la révélation des vulnérabilités CPU Meltdown et Spectre, début 2018.
Le fait que les chercheurs du Project Zero de Google aient été à l’origine de ces découvertes pourrait expliquer pourquoi ce dernier est actuellement en avance sur Firefox dans ce processus d’activation de l’isolation des sites par défaut dans Chrome 67, sorti en mai dernier.
L’inconvénient de l’isolation de site est qu’il augmente les besoins en mémoire, expliquant ainsi pourquoi Fission intègre le redesign de cette partie spécifique du fonctionnement interne du navigateur Firefox, en parallèle de l’amélioration de sa sécurité.
Comme l’a signalé un mailing de Mozilla sur le sujet :
Le problème est donc le suivant : pour que l’isolation de site fonctionne, il faut pouvoir exécuter “au moins” 100 processus de contenu dans une session Firefox moyenne.
Pour éviter que la surcharge de la mémoire ne devienne un fardeau, chaque processus a dû être réduit à environ 7 Mo par rapport à la meilleure estimation actuelle, qui est de 17 Mo à 21 Mo sous Windows.
Depuis janvier, les développeurs de Mozilla ont mis en place diverses mesures de mitigation pour lutter contre la faiblesse du timing de cache de Spectre et Meltdown. Ces dernières ne seront plus nécessaires, représentant ainsi un certain confort.
Néanmoins, d’après les informations les plus récentes, il semble que le navigateur Firefox ait encore besoin de quelques mois avant d’intégrer l’isolation de site dans une version prête à l’envoi.
Cependant, cette annonce arrive après Firefox Quantum, qui est apparu en novembre 2017, et qui était censé enterrer, une bonne fois pour toutes, les commentaires sur les besoins en mémoire du navigateur.
Malheureusement cela n’a pas fonctionné de cette façon. Les navigateurs ont pris l’habitude de lutter contre les besoins en mémoire depuis longtemps à présent, et chaque fois que ce problème semblait maîtrisé, un autre apparaissait, réduisant ainsi à néant tous les efforts !
L’isolation de site est une très bonne amélioration en matière de cybersécurité. Mais l’attente risque d’être encore longue !
Billet inspiré de Mozilla still working on Firefox’s site isolation security revamp, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.