Pour gérer vos consentements :
Categories: Sécurité

Cybersécurité : Google prône la défense collective à la Black Hat

Prendre les problèmes à la racine, avoir une vision de long terme et adopter une approche collaborative : tels furent les trois points saillants du discours de Patricia Tabriz lors de son intervention à la conférence Black Hat.

La directrice de l’ingénierie chez Google a illustré ses propos à travers plusieurs exemples, dont le protocole HTTPS et l’isolation des sites web dans Chrome.

Elle a aussi fait référence à une équipe de chercheurs placée sous sa responsabilité : Project Zero.

Depuis sa création en 2014, cette cellule interne a déniché « plus de 1 400 failles ». Son mode opératoire pousse les éditeurs concernés à prendre rapidement des mesures : qu’un correctif ait été ou non diffusé, les vulnérabilités sont rendues publiques après 90 jours.

Patricia Tabriz l’affirme, statistiques à l’appui : un véritable gain de réactivité a été constaté. Tandis qu’un éditeur a doublé le nombre de mises à jour de sécurité proposées chaque année, un autre a « réduit de l’ordre de 40 % » son délai de diffusion de correctifs.

Constructeurs…

Sur le volet HTTPS, le chantier enclenché en 2014 a impliqué une réflexion sur la meilleure manière d’alerter les utilisateurs finaux.

De nombreux sites n’ayant alors pas encore implémenté pleinement le protocole, Google s’est aperçu que les alertes répétées – et de surcroît non uniformisées entre les navigateurs – avaient tendance à être ignorées. Ou tout du moins mal comprises.

Le projet s’est déroulé par échéances. La première a consisté en la standardisation d’un avertissement pour les pages HTTP collectant des mots de passe. Une autre étape importante fut franchie en 2016 avec l’intégration, dans le « rapport de transparence » de la firme, d’une section sur l’état de l’adoption et de l’utilisation du protocole HTTPS.

Le taux de pages chargées via HTTPS dans Chrome avoisine aujourd’hui les 80 %, contre moins de 50 % trois ans en arrière (voir graphique ci-dessous, cliquable pour agrandir).

… et architectes

À défaut de pouvoir prédire précisément la forme que prendront les menaces futures, on peut, assure Patricia Tabriz, collaborer autour de projets fondés sur des principes fondamentaux de sécurité. Et de donner l’exemple de l’initiative « Site Isolation » lancée en 2012.

L’idée était de réviser l’architecture de Chrome afin de minimiser les risques qu’un site compromis vole des données sur un autre site ouvert dans un onglet du navigateur.

Au prix d’une plus grosse consommation de ressources, chaque onglet est isolé dans un processus. La technologie s’applique aussi aux éléments internes d’une page susceptibles d’appeler d’autres sites ; typiquement un iframe.

Les entreprises ont pu commencer à en bénéficier en décembre dernier par le biais d’une politique de sécurité expérimentale introduite dans Chrome 63. La disponibilité générale est intervenue en mai avec Chrome 67… sauf sur Android.

Le projet a trouvé une première application concrète avec les failles Spectre et Meltdown, révélées en janvier par Project Zero. Il a été, d’après Patricia Tabriz, adopté « à divers degrés » par les principaux navigateurs concurrents.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago