Microsoft a ajouté de nouvelles fonctionnalités de sécurité à son navigateur Edge, en s’appuyant sur le « Super Duper Secure Mode » qui a été dévoilé à la fin de l’année dernière.

Une nouvelle fonctionnalité de sécurité expérimentale, ce mode est conçu pour minimiser les risques d’attaques de navigateur en désactivant le composant Just-In-Time (JIT) dans le moteur V8 – une fonctionnalité qui améliore considérablement la vitesse et la convivialité, mais qui a été associée à de nombreux vulnérabilités de sécurité.

EN RELATION Microsoft dévoile le « Super Duper Secure Mode » dans la dernière version d’Edge

Depuis le lancement de Super Duper Secure Mode, déclare Johnathan Norman, responsable de la recherche sur les vulnérabilités de Microsoft Edge, la plupart des utilisateurs qui ont activé la fonctionnalité déclarent n’avoir remarqué aucun problème ni signalé de compromis en matière de performances.

« 84 % des utilisateurs qui ont activé la fonctionnalité ne l’ont jamais désactivée. C’était surprenant car nous n’avons pas WASM [WebAssembly] fonctionne encore. Une surprise encore plus grande est que la performance / vitesse n’était pas une plainte courante. En fait, c’était le moins souvent cité comme un problème », a-t-il dit dans un tweet.

« La plupart des utilisateurs se sont plaints du manque de prise en charge de WASM. Parmi les utilisateurs qui ont désactivé la fonctionnalité, 42 % ont cliqué sur « autre » et décrit des problèmes liés à WASM, 29 % ont explicitement appelé la compatibilité du site Web.[ability] et 15 % des pages sélectionnées se chargent lentement. Dans la plupart des cas, l’absence de JIT n’était pas un problème. »

Plus de contrôle

Microsoft a ajouté de nouvelles protections de sécurité à Edgey compris Control-flow Enforcement Technology (CET) et Arbitrary Code Guard (ACG), qui empêchent la génération de code dynamique dans les processus de rendu et implémentent une pile fantôme distincte pour protéger les adresses de retour.

« De plus, nous sommes ravis que Microsoft Edge prenne désormais en charge la protection par flux de contrôle en amont et en aval. En appliquant ces protections, nous pouvons fournir une défense en profondeur qui s’étend au-delà des attaques JIT », déclare Norman.

Microsoft expérimente également la fourniture de listes de contournement uniques et adaptées à l’utilisateur, basées sur les scores d’engagement du site utilisateur du projet Chromium.

Autres fonctionnalités

Le fabricant de navigateurs construit également un nouvel interpréteur WASM nommé DrumBrake. Actuellement, un compilateur est utilisé pour convertir le code WASM en instructions machine et nécessite des pages inscriptibles et exécutables en mémoire.

Cependant, la mémoire allouée à WASM est souvent utilisée par les attaquants pour exécuter leur propre code dans des exploits – et bien que l’activation d’ACG empêche cela, elle casse également WASM.

L’objectif de DrumBrake est de fournir un environnement WASM sécurisé qui débloque les cas d’utilisation WASM les plus courants sans nécessiter JIT.

Il y aura des compromis à faire, déclare Norman : « Par exemple, DrumBrake nécessite moins de mémoire, ce qui est un avantage appréciable, mais nous nous attendons à ce que les applications à forte intensité de calcul ne fonctionnent pas aussi bien. »

En septembre dernier, Microsoft Edge est passé à un cycle de publication majeure de quatre semaines cadence, tout en ajoutant une option Extended Stable de huit semaines pour les clients d’entreprise.

Les modifications ont été regroupées dans la version 98 d’Edge, qui a commencé à atterrir sur les ordinateurs de bureau des utilisateurs au début du mois.

La dernière version comprend également un nouveau mode qui donne la priorité à la sécurité du navigateur. Cela permet aux administrateurs d’appliquer des stratégies de groupe aux postes de travail des utilisateurs finaux Windows, macOS et Linux pour aider à se protéger contre les exploits.

A NE PAS MANQUER Microsoft va de l’avant avec la fonctionnalité controversée « acheter maintenant, payer plus tard » pour le navigateur Edge