Prendre les problèmes à la racine, avoir une vision de long terme et adopter une approche collaborative : tels furent les trois points saillants du discours de Patricia Tabriz lors de son intervention à la conférence Black Hat.
La directrice de l’ingénierie chez Google a illustré ses propos à travers plusieurs exemples, dont le protocole HTTPS et l’isolation des sites web dans Chrome.
Elle a aussi fait référence à une équipe de chercheurs placée sous sa responsabilité : Project Zero.
Depuis sa création en 2014, cette cellule interne a déniché « plus de 1 400 failles ». Son mode opératoire pousse les éditeurs concernés à prendre rapidement des mesures : qu’un correctif ait été ou non diffusé, les vulnérabilités sont rendues publiques après 90 jours.
Patricia Tabriz l’affirme, statistiques à l’appui : un véritable gain de réactivité a été constaté. Tandis qu’un éditeur a doublé le nombre de mises à jour de sécurité proposées chaque année, un autre a « réduit de l’ordre de 40 % » son délai de diffusion de correctifs.
Sur le volet HTTPS, le chantier enclenché en 2014 a impliqué une réflexion sur la meilleure manière d’alerter les utilisateurs finaux.
De nombreux sites n’ayant alors pas encore implémenté pleinement le protocole, Google s’est aperçu que les alertes répétées – et de surcroît non uniformisées entre les navigateurs – avaient tendance à être ignorées. Ou tout du moins mal comprises.
Le projet s’est déroulé par échéances. La première a consisté en la standardisation d’un avertissement pour les pages HTTP collectant des mots de passe. Une autre étape importante fut franchie en 2016 avec l’intégration, dans le « rapport de transparence » de la firme, d’une section sur l’état de l’adoption et de l’utilisation du protocole HTTPS.
Le taux de pages chargées via HTTPS dans Chrome avoisine aujourd’hui les 80 %, contre moins de 50 % trois ans en arrière (voir graphique ci-dessous, cliquable pour agrandir).
À défaut de pouvoir prédire précisément la forme que prendront les menaces futures, on peut, assure Patricia Tabriz, collaborer autour de projets fondés sur des principes fondamentaux de sécurité. Et de donner l’exemple de l’initiative « Site Isolation » lancée en 2012.
L’idée était de réviser l’architecture de Chrome afin de minimiser les risques qu’un site compromis vole des données sur un autre site ouvert dans un onglet du navigateur.
Les entreprises ont pu commencer à en bénéficier en décembre dernier par le biais d’une politique de sécurité expérimentale introduite dans Chrome 63. La disponibilité générale est intervenue en mai avec Chrome 67… sauf sur Android.
Le projet a trouvé une première application concrète avec les failles Spectre et Meltdown, révélées en janvier par Project Zero. Il a été, d’après Patricia Tabriz, adopté « à divers degrés » par les principaux navigateurs concurrents.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…