Google Chrome : sécurité renforcée sur Android avec l'isolation de sites

Google renforce la technologie d’isolation de sites intégrée à Chrome et étend – partiellement – sa disponibilité aux appareils Android.

Les utilisateurs d’Android l’auront peut-être remarqué : la dernière version de Chrome, disponible depuis quelques semaines, consomme un peu plus de mémoire.

Cela s’explique, d’après Google, par l’activation de la technologie d’isolation de sites.

Les premiers travaux du groupe américain sur ce volet remontent à 2012.
L’architecture de Chrome a été révisée avec un objectif : minimiser les risques qu’un site compromis vole des données sur un autre site ouvert dans le navigateur.

La solution : isoler chaque site dans un processus distinct.
La technologie s’applique aussi aux éléments internes d’une page susceptibles d’appeler d’autres sites. Typiquement, un iframe.

Les entreprises avaient pu commencer à en bénéficier en décembre 2017 par le biais d’une politique de sécurité expérimentale introduite dans Chrome 63.
La disponibilité générale était intervenue en mai 2018 avec Chrome 67 sur Windows, Mac, Linux et Chrome OS.

À ressources réduites, isolation réduite

Au vu des ressources limitées sur les appareils Android, le chantier a été plus compliqué.

En l’état, la technologie est activée chez 99 % des utilisateurs de terminaux dotés d’au moins 2 Go de RAM.

Par défaut, elle ne s’enclenche que les sites où l’internaute est invité à saisir un mot de passe.
Google en a intégré une liste dans Chrome, qui la complète au gré de la navigation de l’utilisateur.

Contrepartie à cette protection supplémentaire : une augmentation de la consommation de mémoire vive, de l’ordre de 3 % à 5 %.
Il est possible d’activer l’isolation sur l’ensemble des sites, par l’intermédiaire de l’option #enable-site-per-process.

Il y a également du nouveau sur les systèmes d’exploitation de bureau.

À l’origine, la technologie d’isolation visait à empêcher les attaques de type Spectre et Meltdown permettant d’exfiltrer des données sans avoir à exploiter de faille dans Chrome.

Google l’a renforcée pour offrir une protection dans les cas où un processus serait compromis. Il a modifié, à cet effet, plusieurs éléments. Entre autres la gestion cross-site des données sensibles (HTML, XML, JSON et PDF).

Aucune échéance n’est fixée pour l’arrivée de ces protections sur Android.
Reste par ailleurs à résoudre le problème des quelque 2 % d’extensions non encore adaptées à l’isolation.

Lire aussi : Navigateurs : faut-il craindre un « bug de l’an 2022 » ?