Au fil des ans, le navigateur de Google a acquis la réputation d’une véritable forteresse que les hackers échouent à pénétrer. Le résultat d’une stratégie technologique déployée de longue date.

Le navigateur est certainement l’outil le plus important parmi tous les logiciels utilisés : Il sert à chercher une information, lire les news, effectuer des opérations bancaires, se connecter à nos applications….

La sécurité du navigateur est cruciale. Quel est celui qui est le plus sécurisé ?

A l’occasion de la dernière édition du concours de hacking  « Pwn2Own », le navigateur de Google a été mis à l’épreuve, mais personne n’a réussi à le pirater.

Par contre, le top de la plus vulnérable a été attribué cette année à Microsoft Edge, qui a été piraté cinq fois.

Le bilan de Safari n’est pas non plus très brillant, avec quatre attaques réussies.

Firefox a réussi à limiter les dégâts, n’étant victime que d’un seul piratage.

La bonne réputation de Chrome n’est pas récente :

Si l’on additionne toutes les attaques de navigateurs de Pwn2Own depuis 2007, il apparait que le navigateur de Google est manifestement le moins vulnérable avec seulement 7,5 attaques réussies, contre 9 pour Firefox, 11 pour Internet Explorer et 18 pour Safari.

La stratégie de Google, qui dès ses débuts, a mis l’accent sur la sécurité de Chrome, a porté ses fruits.

D’ailleurs, les experts les plus critiques considèrent désormais ce logiciel comme la référence absolue en matière de sécurité.

« Chrome est le navigateur le plus intrusif au niveau des données personnelles, mais paradoxalement c’est aussi le plus sécurisé. Google a dépensé beaucoup d’argent pour vraiment blinder son navigateur …», souligne Christopher Soghoian, chercheur en sécurité informatique au sein de l’ACLU, une Association de défense de libertés citoyennes.

Celui-ci a fait cette constatation à l’occasion de la conférence 33C3, qui s’est déroulée à Hambourg en décembre dernier, lors d’une présentation sur les capacités de hacking des forces de l’ordre, un phénomène qui prend beaucoup d’ampleur partout dans le monde.

Les raisons multiples de ce succès.

Ceci s’explique tout d’abord par un choix technique judicieux, à savoir de créer un processus pour chaque page et de l’isoler du reste du système par un bac à sable (1).

Cette architecture a été mise en place dès le début en 2008.

Elle est assez gourmande en mémoire, mais elle rend les attaques beaucoup plus difficiles. En effet, le pirate est contraint d’enchaîner plusieurs failles de sécurité pour arriver à ses fins.

Les ingénieurs de Google ont également intégré d’autres techniques de sécurité comme la distribution aléatoire de l’espace d’adressage (ASLR, Address Space Layout Randomization) ou des mécanismes anti-dépassement de mémoire tampon (Heap protection).

La qualité remarquable du code de Chrome.

Les chercheurs en sécurité Peiter et Sarah Zatko, qui ont développé une méthode d’analyse de sécurité de logiciels, ont récemment placé les navigateurs pour macOS sous leurs projecteurs.

Chrome a obtenu de loin le meilleur score dans les quatre catégories testées. De son côté, Firefox présentait de graves lacunes.

A noter que Google fait par ailleurs partie des éditeurs qui récompensent systématiquement et depuis longtemps les chercheurs qui trouvent des failles dans ses produits.

Ainsi, en 2016, le géant informatique a versé plus de 3 millions de dollars de récompenses, dont un million de dollars uniquement pour des failles dans Android et Chrome.

(1)             Un ou une sandbox (traduction : « bac à sable ») est un mécanisme de sécurité informatique qui permet l'exécution de logiciel(s) avec moins de risques pour le système d'exploitation