L'équipe responsable du navigateur Web a révélé que les futures versions de Google Chrome pourraient fonctionner plus lentement qu’à l’accoutumée, afin de préserver la sécurité des utilisateurs.
Citant des recherches antérieures qui ont révélé que 70% de tous les problèmes de sécurité recensés sur Chrome concernent des vulnérabilités relatives à la mémoire vive, les développeurs ont énuméré les différentes approches assumées pour améliorer la sécurité du navigateur. Y compris l'imposition d'une légère pénalité de performance sur les futures versions, si cela contribue à rendre Chrome plus sûr.
"Dans chaque étude de cas, nous espérons éliminer une fraction appréciable de nos failles de sécurité exploitables, mais nous nous attendons également à une certaine pénalité de performance", avancent les chercheurs.
- Voici les meilleurs navigateurs web disponibles en 2021
- Comment lire vos fichiers PDF depuis Google Chrome ?
- Quels sont les meilleurs Chromebooks de 2021?
Des options limitées mais fiables
Plus généralement, les développeurs cherchent à renforcer les contrôles liés à la compilation et à l'exécution des applications partenaires, ainsi que l'utilisation d'un langage commun sans risque pour la mémoire. Trois solutions qui rendraient incontestablement Chrome plus sûr.
"Actuellement, il ne nous reste que deux options : rendre C++ plus sûr (mais aussi plus lent !) ou commencer à utiliser un autre langage. Chrome Security expérimente ces deux approches", explique l’équipe en charge.
Les développeurs considèrent MiraclePtr comme l'une des alternatives qui jouera un rôle important dans les futures initiatives sécuritaires de Chrome. Bien que la solution implique l'affectation d'une partie de la mémoire, qui est une ressource précieuse sur un appareil mobile, elle pourrait contribuer à éliminer plus de la moitié des bugs "use-after-free" au sein du navigateur.
Rust : la voie à suivre ?
Dans le même temps, les développeurs continuent d'étudier comment ils seraient en mesure d’adopter un langage plus adapté (à la fois rapide et sécurisé), tel que Rust, pour optimiser certaines parties de Chrome à l'avenir.
La firme de Mountain View affiche une certaine expérience de l'usage de Rust aujourd’hui, puisqu’une autre équipe chargée de la sécurité d'Android expérimente l'implémentation de ce langage dans le code système de bas niveau du système d'exploitation mobile - afin de réduire le nombre de vulnérabilités liées à la mémoire sous Android.
"Nous avons commencé à réaliser des expériences limitées et non orientées user-friendly dans l'arborescence du code source de Chromium. Nous ne l'utilisons pas encore dans les versions de production de Chrome, car nous restons dans une phase expérimentale", indiquent les chercheurs, expliquant que le déploiement de Rust s’accompagne encore d’un lot de complexités conséquent.
