Qui a besoin du nouveau mode « Super Duper Secure » de Microsoft Edge ?
L’équipe Microsoft Edge Vulnerability Team expérimente un nouveau " Super Duper Secure Mode " qui va à l’encontre des pratiques standard des navigateurs pour renforcer considérablement la sécurité Web. Et bien que ce nouveau " Mode sécurisé " puisse sembler être une fonctionnalité pour les services informatiques trop préoccupés, il pourrait jour devient le paramètre par défaut pour tous les utilisateurs d’Edge. Alors, comment ça marche ?
Eh bien, le logiciel derrière Super Duper Secure Mode est un peu compliqué (même pour les développeurs Web), mais le concept global est assez facile à saisir ; le compilateur JIT qui améliore la vitesse du moteur JavaScript V8 est un cauchemar pour la sécurité et doit être désactivé.
Le moteur JavaScript V8 est depuis longtemps une cible de prédilection pour les pirates, car il est super bogué, facile à exploiter et offre un merveilleux point d’entrée dans un système d’exploitation. Introduit en 2008, le compilateur JIT (ou Just-In-Time) augmente les performances de JavaScript au détriment de la sécurité, au point que 45% des vulnérabilités V8 identifiées sont liées au JIT.
Non seulement cela, mais le compilateur JIT empêche les développeurs de navigateurs d’activer de puissants protocoles de sécurité comme la technologie Controlflow-Enforcement Technology (CET) d’Intel et Arbitrary Code Guard (ACG) de Microsoft. Les avantages de la désactivation de JIT sont étonnants – selon l’équipe Edge Vulnerability, cela rend toutes les vulnérabilités du navigateur plus difficiles à exploiter pour les pirates.
Cette réduction de la surface d’attaque tue la moitié des bugs que nous voyons dans les exploits et chaque bug restant devient plus difficile à exploiter. En d’autres termes, nous réduisons les coûts pour les utilisateurs mais augmentons les coûts pour les attaquants.
Mais il y a une raison pour laquelle ce régime va à l’encontre de la pratique courante. La désactivation de JIT réduit les performances du navigateur, en particulier sur les pages Web qui dépendent fortement de JavaScript, comme YouTube. Bien que l’équipe Edge Vulnerability rapporte que "les utilisateurs avec JIT désactivé remarquent rarement une différence dans leur navigation quotidienne", une différence existe certainement et provoquerait l’indignation de beaucoup.
Les tests de l’équipe Edge Vulnerability Team confirment que le "Super Duper Secure Mode" a souvent un impact négatif sur la vitesse de navigation, en particulier les temps de chargement des pages. Mais pour être juste, une régression moyenne de 17 % des temps de chargement n’est pas si mal. Et dans certains cas, la désactivation de JIT a eu un impact positif sur la mémoire et la consommation d’énergie.
Le "Super Duper Secure Mode" de Microsoft doit clairement surmonter certains obstacles techniques, mais l’équipe Edge est probablement à la hauteur de la tâche. Avec le temps, le "Super Duper Secure Mode" pourrait devenir la valeur par défaut pour tous les utilisateurs, car ses avantages en matière de sécurité sont tout simplement trop difficiles à ignorer. Sans oublier que cela pourrait réduire la fréquence des mises à jour de sécurité, qui sont ennuyeuses pour les particuliers et les entreprises.
Mais "Super Duper Secure Mode" n’est qu’une fonctionnalité expérimentale, pour l’instant. Ceux qui veulent le tester doivent télécharger la dernière version de prévisualisation de Microsoft Edge (Beta, Dev ou Canary) et taper edge://flags/#edge-enable-super-duper-secure-mode dans leur barre d’adresse.
Source : Microsoft via TechRadar