La sécurité des principaux navigateurs au crible Quand des extensions facilitent la tâche des pirates
Accuvant a ensuite voulu étudier la manière dont les navigateurs gèrent la sécurité des extensions. Ces dernières nécessitent-elles l'approbation de l'utilisateur pour être installées ? Peuvent-elles être activées silencieusement, c'est-à-dire sans demander le consentement de l'utilisateur ? Font-elles toujours l'objet d'une vérification par un tiers avant de pouvoir être installées ? Quelques différences, plus ou moins importantes, émergent entre les navigateurs.
| Chrome | Internet Explorer 9 | Firefox |
|---|---|---|
| Source : Accuvant | ||
| Nécessite l'approbation de l'utilisateur avant installation | Nécessite l'approbation de l'utilisateur avant installation | Nécessite l'approbation de l'utilisateur avant installation |
| Les plugins peuvent être activés "en silence" (même s'il y a des exceptions notables) | Les plugins sont non vérifiés | Les plugins disponibles via addon.mozilla.org sont vérifiés, Les plug-ins peuvent être activés "en silence" |
| Les plugins peuvent contourner l'ASLR (distribution aléatoire de l'espace d'adressage) | Les plugins peuvent contourner l'ASLR | Les plugins peuvent contourner l'ASLR |
| Mise à jour automatique | Possibilité de mise à jour automatique | |
| Pas de bac à sable pour les plugins, sauf pour PDF et Flash | Pas de bac à sable | Pas de bac à sable |
| Centralisation des extensions | Bonne interface de gestion | Bonne interface de gestion |
| Les extensions doivent signaler les API auxquelles elles veulent avoir accès | ||
Première conclusion saillante, et rassurante : aucun des trois navigateurs laisse une extension non vérifiée s'installer discrètement, "en silence". Sur Internet Explorer, l'utilisateur doit même parfois approuver plusieurs fois l'installation de l'extension.
En revanche, mises à part quelques exceptions, les extensions peuvent être activées de manière silencieuse par une page Web sur tous les navigateurs. Sur Internet Explorer par exemple, des pages Web peuvent silencieusement charger et utiliser ActiveX s'il est déjà installé, c'est-à-dire sans demander le consentement de l'utilisateur. Cependant, un réglage permet d'activer un filtre ActiveX qui peut évier cela.
ASLR et sandbox pour les extensions ?
A l'exception du Flash et des PDF dans Chrome, aucun des navigateurs n'utilise de cloisonnement significatif ou le système du bac à sable pour les extensions.
"ActiveX fonctionne dans un bac à sable assez permissif"
En outre, les extensions ne doivent pas toutes obligatoirement respecter les contraintes de l'ASLR : les pirates pourront donc savoir où se trouvent certains codes exécutables. En effet, pour rappel, l'ASLR, pour Address Space Layout Randomization, soit la distribution aléatoire de l'espace d'adressage, est une technique présente dans Windows depuis Vista, qui complique la tâche des pirates en plaçant de façon aléatoire les zones de données dans la mémoire.
Sur Internet Explorer par exemple, certaine extensions comme Java ou DivX, ne respecte pas les exigences de l'ASLR (distribution aléatoire de l'espace d'adressage).
Chrome marque des points
Point fort du navigateur de Google en matière de sécurité : les visionneuses PDF et Flash d'Adobe sont embarquées dans Chrome, ce qui lui permet de les mettre à jour (parfois même avant Adobe) et de les cloisonner via un bac à sable.
Pour Internet Explorer, l'étude admet par exemple qu'ActiveX fonctionne également dans un bac à sable, mais Accuvant le qualifie de permissif : "il y a certaines restrictions, mais ce n'est pas assez pour empêcher significativement les actes malveillants des pirates", estime l'étude, qui démontre que cette extension, comme d'autres, peut en effet réaliser des captures d'écran ou changer des paramètres système, entre autres possibilités.
Chrome est également le seul navigateur dans lequel les extensions doivent signaler les API auxquelles elles veulent avoir accès et en informer l'utilisateur, qui doit approuver.