Navigateurs et plugins : la guerre est déclarée

Les récentes vulnérabilités mises au jour dans Java [1] ont accentué, s’il en était besoin, la défiance des développeurs de navigateurs, mais aussi celle des utilisateurs, vis-à-vis des plug in.

Les récentes vulnérabilités mises au jour dans Java ont accentué, s’il en était besoin, la défiance des développeurs de navigateurs, mais aussi celle des utilisateurs, vis-à-vis des plug in. L’an passé, de nombreuses failles critiques avaient déjà été découvertes dans Java, mais aussi dans Flash ou dans Silverlight. Ces failles permettent à distance de compromettre un navigateur et de prendre le contrôle de l’ordinateur. Si le risque est grand, c’est que ces extensions sont de véritables environnements d’exécution, qui ont accès à des fonctionnalités de bas niveau de la machine sur laquelle ils s’exécutent. Ils gèrent seuls les permissions et le contrôle des applications qu’ils font tourner, tels des OS qui fonctionneraient en parallèle sur la machine. Afin d’accéder aux fonctions matérielles tout en assurant la portabilité, chacun utilise une « machine virtuelle », qui fait le lien entre l’application, portable, et le matériel spécifique sur lequel celle-ci s’exécute.

En termes de sécurité, le risque croît avec l’étendue du matériel auquel la machine virtuelle donne accès. Les mécanismes de vérification et de contrôle des applications qu’utilisent ces plug in constituent aussi une cible de choix, à la fois au niveau du design et de l’implémentation. Enfin, l’avantage pour les attaquants est l’étendue des exploits, dès lors que les failles découvertes sont conceptuelles ou indépendantes des spécificités de chaque portage de la machine virtuelle.

Des plugins désactivés par défaut

Les éditeurs de ces différentes extensions ont corrigé les problèmes et poussé des mises à jour de manière réactive. Malgré cela, les alertes concernant les extensions rencontrent un écho de plus en plus fort chez les éditeurs de navigateurs, tels Mozilla, Google ou encore Apple. Ainsi, après Apple, ce fut récemment au tour de Google d’abandonner le support de Flash sur son OS mobile. Et Mozilla a déjà annoncé que certains plug in ne seront plus activés par défaut. Les extensions qui sont aujourd’hui l’objet de la vindicte populaire sont largement déployées depuis longtemps, et n’en sont pas à leurs premières failles. On peut se demander pourquoi les risques sécuritaires associés n’ont pas été mis plus en avant par ceux qui, aujourd’hui, les montrent du doigt. Ceux-ci auraient-ils eu un intérêt particulier à changer leur attitude ? 

Quelle est la place de la sécurité ?

Mozilla, Google et d’autres, promeuvent des environnements dans lesquels le navigateur et le système d’exploitation se confondent, tels Firefox OS ou Chrome OS. Dans ces environnements, les navigateurs deviennent une plate-forme applicative, dont les applications utilisent les nouvelles fonctionnalités apportées par HTML5 (stockage, multimédia…) et Javascript (graphique via WebGL…), et sont sous contrôle du navigateur. Dans de tels environnements, Flash ou Java d’un côté, et le navigateur de l’autre, sont donc en concurrence. L’intérêt est clair pour les éditeurs de Chrome ou de Firefox de limiter leur utilisation. Quelle est la place de la sécurité dans cette bataille ? Les navigateurs, en fournissant des fonctionnalités qui supplantent ces extensions, s’exposent à des vulnérabilités semblables, qui commencent déjà à fleurir. Le bruit autour de la dangerosité des extensions serait-il plus le résultat d’une guerre d’influence dirigée par des intérêts financiers, que d’une véritable préoccupation sécuritaire ?