Cybersécurité : Google prône la défense collective à la Black Hat
Entre son équipe Project Zero et ses travaux sur le HTTPS, Google a affirmé la nécessité d’une approche collaborative de la cybersécurité.
Prendre les problèmes à la racine, avoir une vision de long terme et adopter une approche collaborative : tels furent les trois points saillants du discours de Patricia Tabriz lors de son intervention à la conférence Black Hat.
La directrice de l’ingénierie chez Google a illustré ses propos à travers plusieurs exemples, dont le protocole HTTPS et l’isolation des sites web dans Chrome.
Elle a aussi fait référence à une équipe de chercheurs placée sous sa responsabilité : Project Zero.
Depuis sa création en 2014, cette cellule interne a déniché « plus de 1 400 failles ». Son mode opératoire pousse les éditeurs concernés à prendre rapidement des mesures : qu’un correctif ait été ou non diffusé, les vulnérabilités sont rendues publiques après 90 jours.
Patricia Tabriz l’affirme, statistiques à l’appui : un véritable gain de réactivité a été constaté. Tandis qu’un éditeur a doublé le nombre de mises à jour de sécurité proposées chaque année, un autre a « réduit de l’ordre de 40 % » son délai de diffusion de correctifs.
Constructeurs…
Sur le volet HTTPS, le chantier enclenché en 2014 a impliqué une réflexion sur la meilleure manière d’alerter les utilisateurs finaux.
De nombreux sites n’ayant alors pas encore implémenté pleinement le protocole, Google s’est aperçu que les alertes répétées – et de surcroît non uniformisées entre les navigateurs – avaient tendance à être ignorées. Ou tout du moins mal comprises.
Le projet s’est déroulé par échéances. La première a consisté en la standardisation d’un avertissement pour les pages HTTP collectant des mots de passe. Une autre étape importante fut franchie en 2016 avec l’intégration, dans le « rapport de transparence » de la firme, d’une section sur l’état de l’adoption et de l’utilisation du protocole HTTPS.
Le taux de pages chargées via HTTPS dans Chrome avoisine aujourd’hui les 80 %, contre moins de 50 % trois ans en arrière (voir graphique ci-dessous, cliquable pour agrandir).
… et architectes
À défaut de pouvoir prédire précisément la forme que prendront les menaces futures, on peut, assure Patricia Tabriz, collaborer autour de projets fondés sur des principes fondamentaux de sécurité. Et de donner l’exemple de l’initiative « Site Isolation » lancée en 2012.
L’idée était de réviser l’architecture de Chrome afin de minimiser les risques qu’un site compromis vole des données sur un autre site ouvert dans un onglet du navigateur.
Au prix d’une plus grosse consommation de ressources, chaque onglet est isolé dans un processus. La technologie s’applique aussi aux éléments internes d’une page susceptibles d’appeler d’autres sites ; typiquement un iframe.
Les entreprises ont pu commencer à en bénéficier en décembre dernier par le biais d’une politique de sécurité expérimentale introduite dans Chrome 63. La disponibilité générale est intervenue en mai avec Chrome 67… sauf sur Android.
Le projet a trouvé une première application concrète avec les failles Spectre et Meltdown, révélées en janvier par Project Zero. Il a été, d’après Patricia Tabriz, adopté « à divers degrés » par les principaux navigateurs concurrents.