Prendre les problèmes à la racine, avoir une vision de long terme et adopter une approche collaborative : tels furent les trois points saillants du discours de Patricia Tabriz lors de son intervention à la conférence Black Hat.
La directrice de l’ingénierie chez Google a illustré ses propos à travers plusieurs exemples, dont le protocole HTTPS et l’isolation des sites web dans Chrome.
Elle a aussi fait référence à une équipe de chercheurs placée sous sa responsabilité : Project Zero.
Depuis sa création en 2014, cette cellule interne a déniché « plus de 1 400 failles ». Son mode opératoire pousse les éditeurs concernés à prendre rapidement des mesures : qu’un correctif ait été ou non diffusé, les vulnérabilités sont rendues publiques après 90 jours.
Patricia Tabriz l’affirme, statistiques à l’appui : un véritable gain de réactivité a été constaté. Tandis qu’un éditeur a doublé le nombre de mises à jour de sécurité proposées chaque année, un autre a « réduit de l’ordre de 40 % » son délai de diffusion de correctifs.
Sur le volet HTTPS, le chantier enclenché en 2014 a impliqué une réflexion sur la meilleure manière d’alerter les utilisateurs finaux.
De nombreux sites n’ayant alors pas encore implémenté pleinement le protocole, Google s’est aperçu que les alertes répétées – et de surcroît non uniformisées entre les navigateurs – avaient tendance à être ignorées. Ou tout du moins mal comprises.
Le projet s’est déroulé par échéances. La première a consisté en la standardisation d’un avertissement pour les pages HTTP collectant des mots de passe. Une autre étape importante fut franchie en 2016 avec l’intégration, dans le « rapport de transparence » de la firme, d’une section sur l’état de l’adoption et de l’utilisation du protocole HTTPS.
Le taux de pages chargées via HTTPS dans Chrome avoisine aujourd’hui les 80 %, contre moins de 50 % trois ans en arrière (voir graphique ci-dessous, cliquable pour agrandir).
À défaut de pouvoir prédire précisément la forme que prendront les menaces futures, on peut, assure Patricia Tabriz, collaborer autour de projets fondés sur des principes fondamentaux de sécurité. Et de donner l’exemple de l’initiative « Site Isolation » lancée en 2012.
L’idée était de réviser l’architecture de Chrome afin de minimiser les risques qu’un site compromis vole des données sur un autre site ouvert dans un onglet du navigateur.
Les entreprises ont pu commencer à en bénéficier en décembre dernier par le biais d’une politique de sécurité expérimentale introduite dans Chrome 63. La disponibilité générale est intervenue en mai avec Chrome 67… sauf sur Android.
Le projet a trouvé une première application concrète avec les failles Spectre et Meltdown, révélées en janvier par Project Zero. Il a été, d’après Patricia Tabriz, adopté « à divers degrés » par les principaux navigateurs concurrents.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…