Sécurité des navigateurs : Cloudflare absorbe S2 Systems

Clément Bohic,
cloudflare-s2-systems

Cloudflare acquiert S2 Systems, start-up américaine à l’origine d’une technologie alternative d’isolation des navigateurs web.

Pour S2 Systems, la suite de l’histoire s’écrira chez Cloudflare.

Le groupe américain récemment entré en Bourse a mis la main sur cette start-up fondée par des anciens de Microsoft.

Il ajoute ainsi à son portefeuille une technologie d’isolation des navigateurs.

La technologie en question est de type RBI (Remote Browser Isolation) : elle rend les pages web sur un serveur cloud et les transmet au poste client.

En la matière, l’approche traditionnelle consiste à diffuser la « fenêtre » distante sous la forme d’images ou de vidéos (pixel pushing, mirroring ou streaming). Le protocole RDP de Microsoft repose sur ce principe pour l’accès aux bureaux distants.

Cette solution présente des coûts d’infrastructure importants pour le traitement des images (rastérisation, encodage…) et peut poser des problèmes de performances (latence, perte d’informations…).

WebAssembly en support

Face à ces contraintes, une autre solution s’est développée dans l’univers du RBI : le DOM remoting ou mirroring. Elle consiste à « nettoyer » les pages sur le serveur distant, puis à les reconstruire côté client avant rendu.
Des problèmes de compatibilité peuvent se poser. La sécurité n’est par ailleurs pas pleinement garantie, entre autres de par l’absence de prise charge du contenu dynamique de type Flash et WebGL.

nvr-s2-systemsS2 Systems joue l’alternative avec une technologie brevetée en octobre dernier et baptisée NVR (Network Vendor Rendering).

Plutôt que de capturer des images, on intercepte des données à plus haut niveau. En l’occurrence, les commandes de rendu de la bibliothèque Skia, exploitée par le navigateur distant (basé sur Chromium).

Ces commandes sont tokenisées, compressées, chiffrées et transmises au client. Pour assurer la compatibilité des navigateurs, une bibliothèque NVR au format WebAssembly y est mise en cache à la première utilisation.

La technologie va faire l’objet d’une intégration dans la nouvelle suite Cloudflare for Teams. Celle-ci associe le pare-feu Cloudflare Gateway et l’IAM Cloudflare Access.

Photo d’illustration © ntr23viaVisualhunt.com / CC BY-NC-SA