La sécurité des principaux navigateurs au crible Les limites du cloisonnement des processus et du bac à sable
Accuvant a également voulu mettre à l'épreuve le cloisonnement des processus des navigateurs et leur bac à sable. Le cabinet de conseil a ainsi listé les accès de chaque navigateur. Ont-ils accès à la base de registre ? Peuvent-ils seulement y lire les fichiers ou peuvent-ils également y écrire des données ? C'est ce qu'a voulu savoir l'étude.
Accuvant précise que tous ces tests ont été réalisés depuis le processus présentant les privilèges les plus bas des navigateurs (c'est-à-dire le moteur de rendu). Avec pour objectif de tenter d'accéder à des ressources non-utilisées (telle une application qui n'a pas été lancée, par exemple le presse-papier).
Firefox n'utilise pas de sandbox
Le cabinet rappelle que Firefox n'utilise pas vraiment de bac à sable et repose sur le système d'intégrité adopté par Windows - l'OS lui accordant, par défaut un niveau d'intégrité moyen (un mode protégé ayant un fort niveau d'intégrité). Les test ont néanmoins voulu connaître le cloisonnement du navigateur dans son paramétrage par défaut.
Tous les accès et possibilités listés ci-dessous peuvent être utilisés par des pirates.
| Chrome | Internet Explorer 9 | Firefox | |
|---|---|---|---|
| Source : Accuvant | |||
| Accès aux fichiers et répertoires (Lecture) | Non | Oui | Oui |
| Accès aux fichiers et répertoires (Ecriture) | Non | Partiellement bloqué | Partiellement bloqué |
| Accès à la base de registre (Lecture) | Non | Partiellement bloqué | Partiellement bloqué |
| Accès à la base de registre (Ecriture) | Non | Non | Partiellement bloqué |
| Accès réseau (connexion sortante) | Non | Oui | Oui |
| Espionner l'écran ou les frappes de clavier | Non | Partiellement bloqué | Oui |
| Accès aux autres tâches en cours | Non | Partiellement bloqué | Oui |
| Accès au presse-papier | Non | Non | Oui |
| Accès et modification des paramètres système | Partiellement bloqué | Partiellement bloqué | Oui |
| Possibilité de mettre en place un hook (pour intercepter certains messages Windows) | Partiellement bloqué | Oui | Oui |
Les résultats des tests sont flatteurs pour Chrome. Ses onglets, qui sont tous associés à des processus séparés, sont bien cloisonnés par son bac sable. Ils ne peuvent pas gérer grand-chose – et lorsqu'ils le peuvent, ce n'est que partiellement.
Niveau d'intégrité trop fort pour Firefox ?
Firefox est seulement limité par l'intégrité "moyenne" que lui accorde Windows, ce qui lui permet de lire et écrire de nombreux fichiers, et même de changer certains paramètres système, comme pourrait le faire un utilisateur non-administrateur.
A titre de comparaison, les onglets d'Internet Explorer, qui sont aussi associés à des processus séparés comme dans Chrome, ont, eux, un niveau d'intégrité "faible". Pour rappel, Firefox ne distingue que deux processus, un pour le navigateur et tous ses onglets, et l'autre pour les plugins.
Le niveau d'intégrité faible de chaque onglet d'Internet Explorer leur permet néanmoins d'avoir accès à de nombreuses ressources et possibilités (voir tableau ci-dessus). Internet Explorer laisse en effet généralement un accès, au moins en lecture, à la plupart des fichiers et répertoires, mais empêche par exemple aussi bon nombre de modifications des paramètres système.