Archive pour le mois : 12/2015

Microsoft Edge doit apporter des améliorations considérables en matière de sécurité du navigateur, surtout vis-à-vis d’un Internet Explorer objet de toutes les turpitudes sur ce point. Reste que des éléments récents amènent à reconsidérer cet argument marketing de Microsoft. Au point de se demander si Edge est un pas en avant en matière de sécurité. Ou le contraire.

Microsoft Edge, le digne héritier des errements de sécurité d’Internet Explorer ?

C’est le journaliste Woody Leonhard qui lève le lièvre pour InfoWorld. En mai dernier le senior program manager de Micrsoft Edge, Crispin Cowan, annonçait plein d’optimisme dans un billet de blog titré « Microsoft Edge : construire un navigateur plus sûr » que : « Avec Microsoft Edge, nous voulons améliorer fondamentalement la sécurité par rapport aux navigateurs existants et permettre aux utilisateurs de profiter en toute confiance du web à partir de Windows. Nous avons conçu Microsoft Edge de manière à protéger les utilisateurs d’attaques sophistiquées et de plus en plus répandues. »

L’article décrit ensuite longuement comment Edge est bien meilleur que le daté et décidément bien mauvais IE, car il inclut « des techniques de sandboxing de pointe, un compilateur, et des techniques de gestion de mémoire développées en lien étroit avec Windows ». En particulier, il nous a été promis que Edge serait un bien meilleur partenaire contre les sites malveillants et les faux sites; qu’il en serait fini de ActiveX, du VB Script (Visual Basic Scripting Edition), des barres d’outils, des BHO (Browser Helper Object) ou encore du VML (Vector Markup Language). Edge doit également proposer des extensions sécurisées, des containers applicatifs en mode sandbox, ou encore une poubelle MemGC afin de protéger contre des attaques « user-after-free ». On note enfin la présence revendiquée de la fonctionnalité Visual Studio’s Control Flow Guard (/guard), et d’un tas d’autres options de sécurité.

Des fondations pourries ?

Mais en regardant le Patch Tuesday de début décembre, mais aussi celui de novembre, on peut se demander à quel point ces nouveaux outils de sécurité ne sont pas tout simplement factices, et à quel point la fondation sur laquelle repose Edge n’est pas en tout point pourrie.

En cause, les Common Vulnerabilities and Exposures, dites CVE. Il s’agit d’un dictionnaire contenant les informations publiques relatives aux vulnérabilités de sécurité. Ce document est maintenu par l’organisme MITRE, soutenu par le département de la sécurité intérieure des États-Unis. Chaque entrée de CVE est censée identifier une faille de sécurité unique. Et le chevauchement des CVE d’Internet Explorer et des CVE de Edge montre que de nombreux problèmes de sécurité de Edge ont été hérités d’IE.

Par exemple, le Patch Tuesday de décembre contient une release nommée MS15-124, qui est une mise à jour cumulative pour Internet Explorer, et un correctif nommé MS15-125, qui s’attaque aux mêmes problèmes pour Microsoft Edge. Sur les 15 failles de CVE reliées à Edge, 11 correspondent également un des problèmes détectés dans IE. En regardant le Patch Tuesday de novembre, les quatre CVE fixées par le correctif MS15-113 pour Edge ont également été identifiés comme des problèmes à résoudre avec le correctif MS15-112 pour IE.

Tout ceci ne peut être une coïncidence explique Woody Leonhard. Quand on compare la liste officielle des CVE pour Edge et que l’on la compare avec la liste des CVE pour Internet Explorer, il s’avère que 14 CVE sont identifiées pour Microsoft Edge. Et sur ce nombre, 13 sont également identifiées comme des failles de sécurité pour Internet Explorer. De toute évidence, Edge améliore la sécurité de la navigation Internet dans un grand nombre de domaines. Mais il est bon de se demander combien des problèmes d’Internet Explorer vont continuer à fuiter via ce nouveau navigateur.