Microsoft renforce la sécurité d’Edge contre les attaques zero-day

Dans la dernière version de sa version bêta d’Edge, Microsoft a introduit une nouvelle façon pour les administrateurs informatiques de mieux sécuriser le navigateur basé sur Chromium contre les attaques Web.

le notes de publication pour Microsoft Edge Beta Channel décrire les nouvelles fonctionnalités de sécurité comme employant plusieurs techniques pour se prémunir contre les soi-disant exploits zero-day ; Les exploits zero-day sont des vulnérabilités logicielles ou réseau dont les développeurs n’ont pas connaissance et qui n’ont donc pas été corrigés.

Imaginez si le mécanisme de verrouillage de la porte dérobée de votre maison était défectueux et que le fait de secouer la poignée de porte libérait le loquet. Les cambrioleurs pouvaient faire du porte à porte à la recherche de cette vulnérabilité particulière et secouer les poignées de porte jusqu’à ce que l’une d’elles s’ouvre. Les jours zéro sont le même concept, mais dans le cyberespace.

Les systèmes informatiques sont de plus en plus attaqués par de nouveaux virus, la cyberguerre et les attaques par force brute. L’une des voies les plus faciles pour accéder aux systèmes d’une organisation consiste à utiliser une vulnérabilité connue, mais non corrigée, en particulier une vulnérabilité extérieure aux pare-feu d’une organisation (c’est-à-dire, l’appareil d’un utilisateur final). Selon Jack Gold, analyste principal chez J. Gold Associates, le problème évident des exploits zero-day est qu’ils sont difficiles à détecter lorsque les développeurs et les administrateurs de la sécurité ne savent pas quoi rechercher.

Les pirates, qu’ils soient bons ou mauvais, vendent les exploits zero-day qu’ils découvrent. Les gentils les vendent aux entreprises pour renforcer leur sécurité ; les méchants les vendent à d’autres mauvais acteurs. Par exemple, au début de la pandémie, les pirates ont vendu des vulnérabilités logicielles découvertes dans l’application de visioconférence Zoom; un exploit était pour les PC Windows, l’autre pour les systèmes macOS. Les pirates auraient vu un salaire d’un demi-million de dollars.

La nouvelle fonctionnalité Edge de Microsoft permet aux administrateurs de configurer certaines stratégies de groupe pour les postes de travail des utilisateurs finaux (Windows, macOS et Linux) afin de les protéger contre les vulnérabilités du jour zéro. Lorsqu’elle est activée, la fonctionnalité ajoute Protection de la pile, Garde de code arbitraire (ACG), et Protecteur de flux de contenu (CFG) comme prise en charge des atténuations de sécurité pour mieux protéger les utilisateurs en ligne. Les stratégies de groupe incluent : EnhanceSecurityMode ; EnhanceSecurityModeBypassListDomains ; et EnhanceSecurityModeEnforceListDomains.

« Ainsi, le moyen le plus sûr de protéger la navigation est d’empêcher le navigateur d’interagir avec d’autres parties de la machine », a déclaré Gold. « Fondamentalement, le moyen le plus sûr de le faire est de placer le navigateur dans un » coffre-fort « où tout le code du navigateur reste verrouillé dans une section virtuelle de la machine et ne peut aller nulle part ailleurs. C’est essentiellement une politique de confinement. Qu’est-ce que Microsoft est essayer de faire avec les nouvelles fonctionnalités Edge est de s’assurer que tout ce qui se trouve dans le navigateur ne peut pas interagir avec des applications et/ou modifier le système d’exploitation. »

La protection de la pile et la protection de code arbitraire, a expliqué Gold, empêchent tout exploit de type zero-day qui aurait un moyen de sortir du navigateur vers la machine. Le suivi du contenu est similaire en ce sens qu’il empêche l’interaction avec et la prise en charge des applications (par exemple, l’ouverture d’un document infecté dans Word).

« Alors est-ce un gros problème », a déclaré Gold. « Il existe de nombreux exemples de machines infectées par des logiciels malveillants en naviguant sur le mauvais site. Tout ce qui peut empêcher que cela se produise est bon. »

Inversement, la définition de politiques signifie également que certains sites qui ont légitimement besoin d’accéder à d’autres applications sur l’appareil d’un utilisateur final et/ou d’accéder à des parties du système d’exploitation ne pourront pas le faire, a déclaré Gold. Bien que cela puisse convenir à la navigation Internet occasionnelle, le plus grand défi est que, si elles sont définies de cette façon, certaines applications internes basées sur un navigateur peuvent ne pas fonctionner (par exemple, des écrans contextuels pour remplir des informations ou obtenir un statut).

« Ainsi, comme pour toute technologie de sécurité, il y a des avantages et des inconvénients à fermer des fonctionnalités spécifiques. Mais les dommages potentiels d’un zero-day pénétrant dans ma machine, puis dans les réseaux sont une bonne raison de causer un peu de désagrément,  » dit l’or.

Il existe déjà d’autres implémentations de navigateurs tiers qui proposent depuis un certain temps une fonctionnalité similaire « d’exécution isolée » ; Edge rattrape maintenant son retard, a déclaré Gold.

La mise à jour de la version bêta d’Edge introduit également une fonctionnalité de mot de passe principal personnalisé. Alors que le navigateur permet déjà aux utilisateurs d’ajouter une étape d’authentification avant que les mots de passe enregistrés ne soient remplis automatiquement dans les formulaires Web (en d’autres termes, l’authentification à deux facteurs), la possibilité de créer un mot de passe personnalisé ajoute encore une autre couche de confidentialité et aide à empêcher les utilisateurs non autorisés d’utiliser des mots de passe enregistrés pour se connecter à des sites Web.

Le mot de passe principal personnalisé est une évolution de cette même fonctionnalité, où les utilisateurs peuvent désormais utiliser une chaîne personnalisée de leur choix comme mot de passe principal. Une fois activé, les utilisateurs saisiront ce mot de passe pour s’authentifier et leurs mots de passe enregistrés seront automatiquement remplis dans les formulaires Web.

Outre les nouvelles fonctionnalités de sécurité, autres améliorations inclure un correctif pour un problème où les moteurs de recherche par défaut ne peuvent pas être supprimés, un petit ajustement pour afficher les suggestions de recherche immédiatement lorsque vous cliquez sur la barre d’adresse et l’ajout de Web Capture lors de l’affichage de fichiers PDF dans Microsoft Edge.

Enfin, Microsoft a mis à jour ses barres de défilement avec une conception basée sur la superposition dans Edge. Les utilisateurs peuvent activer cette fonctionnalité dans edge://flags.

L’activation de cette fonctionnalité masque la barre d’outils et empêche votre barre de défilement d’apparaître, obligeant l’utilisateur à passer la souris sur le bord de votre fenêtre pour déclencher l’apparition de la barre de défilement.

Si vous le désactivez, la barre d’outils apparaîtra automatiquement.