Sécurisez Google Chrome contre les vulnérabilités Meltdown et Spectre
Comme vous le savez peut-être déjà, tous les processeurs Intel sortis au cours de la dernière décennie sont affectés par un problème grave. Un code spécialement malformé peut être utilisé pour voler les données privées de tout autre processus, y compris des données sensibles telles que des mots de passe, des clés de sécurité, etc. Même un navigateur avec JavaScript activé peut être utilisé comme vecteur d'attaque. Si vous êtes un utilisateur de Google Chrome/Chromium, vous pouvez procéder comme suit.
Publicité
Si vous n'êtes pas au courant des vulnérabilités Meltdown et Spectre, nous les avons couvertes en détail dans ces deux articles :
- Microsoft déploie un correctif d'urgence pour les failles du processeur Meltdown et Spectre
- Voici les correctifs de Windows 7 et 8.1 pour les défauts du processeur Meltdown et Spectre
En bref, les vulnérabilités Meltdown et Spectre permettent à un processus de lire les données privées de tout autre processus, même depuis l'extérieur d'une machine virtuelle. Cela est possible grâce à la mise en œuvre par Intel de la façon dont leurs processeurs extraient les données. Cela ne peut pas être résolu en corrigeant uniquement le système d'exploitation. Le correctif implique la mise à jour du noyau du système d'exploitation, ainsi qu'une mise à jour du microcode du processeur et peut-être même une mise à jour UEFI/BIOS/firmware pour certains appareils, afin d'atténuer pleinement les exploits.
L'attaque peut également être effectuée avec JavaScript uniquement à l'aide d'un navigateur.
Aujourd'hui, une nouvelle version de Google Chrome est sortie. Chrome 63.0.3239.132 est livré avec un certain nombre de correctifs de sécurité, mais il n'inclut aucun correctif spécial pour les vulnérabilités Meltdown et Spectre. Vous pouvez activer l'isolation complète du site manuellement pour vous protéger contre les vulnérabilités mentionnées.
Qu'est-ce que l'isolement complet du site
L'isolation de site est une fonctionnalité de sécurité de Chrome qui offre une protection supplémentaire contre certains types de bogues de sécurité. Il est plus difficile pour les sites Web non fiables d'accéder ou de voler des informations de vos comptes sur d'autres sites Web.
Les sites Web ne peuvent généralement pas accéder aux données des autres dans le navigateur, grâce au code qui applique la politique de même origine. Parfois, des bogues de sécurité sont trouvés dans ce code et des sites Web malveillants peuvent essayer de contourner ces règles pour attaquer d'autres sites Web. L'équipe Chrome vise à corriger ces bogues le plus rapidement possible.
L'isolation de site offre une deuxième ligne de défense pour réduire les chances de réussite de telles vulnérabilités. Il garantit que les pages de différents sites Web sont toujours placées dans différents processus, chacun s'exécutant dans un bac à sable qui limite ce que le processus est autorisé à faire. Il empêche également le processus de recevoir certains types de documents sensibles d'autres sites. En conséquence, un site Web malveillant aura plus de mal à voler des données d'autres sites, même s'il peut enfreindre certaines règles dans son propre processus.
L'isolation complète du site sera activée par défaut dans Google Chrome 64.
Dans la version actuelle de Google Chrome, vous pouvez activer manuellement l'isolation complète du site. Cela ajoutera une protection supplémentaire contre les vulnérabilités Meltdown et Spectre.
Sécurisez Google Chrome contre les vulnérabilités Meltdown et Spectre
- Ouvrez Google Chrome.
- Taper
chrome://flags/#enable-site-per-process
dans la barre d'adresse. - Activez le drapeau "Isolement strict du site" en utilisant le bouton à côté de la description du drapeau.
Notez que l'activation de l'isolation complète du site augmentera l'utilisation de la mémoire - Google indique que cela peut être 10 à 20 % de plus que d'habitude. Les administrateurs peuvent choisir d'activer l'isolation de site de Chrome pour tous les sites ou de sélectionner une liste de sites Web à exécuter dans leur propre processus de rendu.
Il convient de mentionner que Firefox utilise un mécanisme de protection différent. Si vous êtes un utilisateur de Firefox, veuillez vous référer à l'article suivant :
Firefox 57.0.4 publié avec la solution de contournement des attaques Meltdown et Spectre
C'est ça.