Sans sombrer dans la paranoïa, il est évident que de plus en plus d’attaques passent par les sites Web et donc les navigateurs. Même un utilisateur précautionneux peut se retrouver sur un site qui semble tout à fait normal mais est en fait compromis, au sens où il pourra, par exemple, exécuter un script pour mettre en danger sa machine et toutes les données qui s’y trouvent.
Microsoft monte l’Application Guard
Pour réduire l’impact de ce genre de mésaventure, Microsoft vient de dévoiler, dans le cadre de sa conférence Ignite, un nouveau programme, appelé Windows Defender Application Guard for Microsoft Edge.
Ce système repose sur la technologie de sécurité qui utilise des machines virtuelles introduite l’été dernier dans Windows 10. Dans les faits, Virtualization Based Security (VBS) utilise de petites machines virtuelles et l’hyperviseur Hyper-V pour isoler certaines données et processus critiques du reste du système d’exploitation.
Ainsi, des mots de passes, des codes réseaux, des identifiants sont stockés dans une machine virtuelle dédiée et séparée, ce qui évite que certains outils malveillants puissent y accéder. Mieux, quand un hacker arriver à attaquer la machine, son attaque est censée est limitée à cette machine virtuelle. Ce qui évitera par exemple qu’il puisse contaminer le PC et surtout les autres appareils connectés au même réseau.
https://www.youtube.com/watch?v=McP8ZGAInwI
Une machine virtuelle allégée
Le successeur d’Internet Explorer représente déjà un progrès en matière de sécurité. Il crée ainsi un bac à sable sécurisé pour ces processus, une manière de limiter les dégâts si un code malveillant est exécuté à l’intérieur du navigateur. En effet, ce bac à sable ne bénéficie que d’accès limité au reste du système et des données. Le problème est que cela n’empêche par des attaquants éventuels de tenter de déborder ces limites en s’en prenant à Windows, via des failles non patchées ou inconnues.
Application Guard tente donc d’apporter une réponse à ce problème en plaçant une grande partie de Edge dans une machine virtuelle – qui ne fera fonctionner que quelques-unes des fonctions de Windows, celles nécessaires à l’exécution du navigateur, et non un système d’exploitation complet, afin de ne pas alourdir inutilement le fonctionnement du PC. La machine virtuelle est bien plus « isolée » qu’un bac à sable, puisqu’elle ne voit pas les autres processus fonctionnant en même temps, elle ne peut pas accéder au stockage local, ni même aux autres applications installées.
Commencer par le navigateur et par les pros
Pour l’heure, Application Guard ne fonctionnera qu’avec Edge et Microsoft n’entend pas fournir d’API pour que cette protection puisse être étendue à d’autres programmes. Le géant de Redmond reconnaît que le grand public pourrait bénéficier d’une telle solution, mais Application Guard ne sera disponible que pour la version professionnelle de Windows 10 pour l’heure. Pour quelles raisons ? Il semble y en avoir au moins deux. La première semble essentiellement être liée à une question d’expérience d’utilisation. Outre qu’elle peut avoir un impact sur les performances globales du PC, la machine virtuelle est créée à l’ouverture du navigateur et s’arrête avec la fermeture de Edge. Cela signifie que les cookies de la session de navigation disparaissent eux aussi.
La seconde tient à une contrainte technique. Pour que l’hyperviseur puisse être installé, il faut que le processeur du PC sur lequel il doit tourner soit compatible. Ce n’est pas le cas de tous les CPU présents sur les machines grand public actuellement.
Il paraît toutefois probable que Microsoft travaille à résoudre ces problèmes, tant l’enjeu de la sécurité des navigateurs est essentiel et tant cette fonction pourrait apporter d’intérêt à son navigateur qui peine encore à s’imposer face à la concurrence. Un an après son lancement, en août dernier, il ne représentait ainsi que 4,2% de parts de marché des navigateurs, soit à peine plus qu’Internet Explorer 8, dont la dernière mise à jour date de mars 2009.
Quoi qu’il en soit les utilisateurs les plus impatients et curieux pourront découvrir cette fonction via le programme Windows Insiders plus tard cette année. Une version stable et définitive devrait être mise à disposition l’année prochaine.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.