Si vous désactivez l'isolation de site dans Google Chrome

À ce jour, vous avez sûrement entendu parler de «Spectre», la faille de sécurité surnommée de manière inquiétante qui affecte presque tous les processeurs modernes. Et à juste titre, puisque la vulnérabilité concerne des applications et des sites Web néfastes, accédant à des données provenant de zones où ils ne devraient vraiment pas. Pour résoudre ce problème en particulier, les navigateurs ont mis au point divers mécanismes de sécurité, dont l’implémentation spécifique à Chrome est l’isolation de site.

Introduit pour la première fois dans Chrome v63 en tant que fonction de sécurité facultative, Site Isolation est désormais exécuté par défaut depuis la version 67. Techniquement, il est assez à même d'atténuer les attaques spéculatives d'exécution (sur lesquelles Spectre est basé) en raison des processus en bac à sable qu'il utilise.

Mais comme pour tout ce qui est bon, cela a un prix - pour être précis, la performance. Ainsi, la désactivation de l'isolation de site améliorerait-elle le fonctionnement de Chrome? Vaut-il le compromis en matière de sécurité? Découvrons-le.

Aussi sur Tech de guidage

Qu'est-ce que Autoriser la connexion à Chrome et si vous le désactivez?

Spectre et isolement de site

Comme tout autre navigateur, Google Chrome vous permet d'ouvrir plusieurs sites Web à l'aide de différents onglets. Avant la mise en œuvre de l'isolation de site, les onglets partageaient les processus communs, ce qui est logique dans la mesure où la duplication de tâches constituerait un gaspillage de ressources système. Cependant, cette situation est idéale pour une attaque malveillante basée sur une conception de processeur défectueuse - Spectre.

Les microprocesseurs modernes utilisent une exécution spéculative pour pré-charger des données de la mémoire système sur le cache du processeur beaucoup plus rapide afin d'améliorer les performances globales. Cependant, cela offre une opportunité unique au code malveillant d'inviter le processeur à extraire les données sensibles de son cache en exploitant des processus partagés. Une fois que les données sont dans le cache de la CPU, elles ne sont plus protégées (contrairement à la mémoire système) et peuvent facilement être volées.

Supposons que vous ayez quelques onglets ouverts - l'un avec votre compte bancaire et l'autre avec un site aléatoire. En théorie, ce dernier, à condition qu'il ait une intention malveillante, peut plonger dans le cache du processeur utilisé par le premier onglet, puis charger et lire des informations allant des informations de connexion aux clés cryptographiques.

Même s’il est assez difficile d’imaginer un tel incident en raison du cache limité du processeur (qui n’est qu’une fraction infime par rapport à la mémoire système). Au lieu de cela, le code malveillant détermine exactement les données à voler en comparant la différence entre les vitesses d’accès du processeur. Après tout, si les choses vont plus vite que d’habitude, les données se trouvent déjà dans le cache du processeur grâce à une spéculation précise.

Lors de la découverte de la vulnérabilité Specter, les navigateurs ont commencé à utiliser diverses solutions (telles que des résolutions plus faibles pour réduire la précision de la détermination de la vitesse d'accès du processeur) afin de dissiper les attaques ciblées. Cependant, ils ne constituent pas un moyen idéal pour contrer les menaces basées sur Spectre, d’où la raison de l’isolation du site.

Comme son nom l'indique, Isolation de site isole complètement les onglets les uns des autres en créant des processus distincts pour tous les iframes (liens externes incorporés), y compris ceux qui sont communs à d'autres onglets. Étant donné que les processus partagés jouent un rôle important en aidant les codes malveillants à surveiller et à lire les informations depuis d'autres onglets, l'utilisation de processus indépendants par Site Isolation permet de limiter efficacement ces vulnérabilités.

Dans notre exemple précédent, avec l'isolation de site activée, votre portail de compte bancaire s'exécute sur un processus complètement différent et ne partage aucun élément similaire à l'autre onglet. Cet «isolement» réduit à un minimum la possibilité de vol d'informations en cas de violation.

Surcharge de mémoire

Vous devez donc vous demander si les performances de l'isolation de site sont réduites à néant en raison de la mémoire système supplémentaire utilisée par chaque processus indépendant - onglet du navigateur. Selon le blog Google Online Security, l'implémentation de la sécurité utilise jusqu'à 10-13% de RAM de plus que si la fonctionnalité n'était pas active en premier lieu. Cela signifie que vous valez mieux en l'activant.

Vérifions à quel point ce chiffre est précis dans la pratique. Si aucune isolation de site n'est activée, la capture d'écran ci-dessous montre quelques sites Web utilisant de nombreux iframes similaires. Seuls les deux onglets ont des tâches en cours distinctes, sans processus indépendants pour aucun des iframes.

Remarque: les captures d'écran sont affichées à l'aide du gestionnaire de tâches intégré de Chrome. Pour y accéder, ouvrez le menu Chrome, pointez sur Plus d'outils, puis cliquez sur Gestionnaire de tâches.

Les mêmes onglets, avec l'isolation de site activée, apparaissent dans la capture d'écran suivante. Comme vous pouvez le constater, le nombre de processus supplémentaires a considérablement augmenté en raison des iframes utilisés par chaque site. En outre, des processus similaires sont en outre divisés en deux pour limiter les chances de succès d'une attaque par exécution spéculative. Si vous faites le calcul (sans tenir compte des tâches du navigateur et du processus GPU), les deux sites utilisent environ 33% de mémoire supplémentaire.

L'utilisation de la mémoire est nettement supérieure à celle indiquée par Google. Cependant, considérons le chiffre de 10-13% de plus d'une moyenne à long terme. Les sites, et même les pages Web individuelles, diffèrent de temps en temps en nombre de processus et en mémoire. Par conséquent, le scénario ci-dessus peut être considéré comme une valeur aberrante.

Quoi qu'il en soit, l'isolation de site entraîne une augmentation modérée, ou dans ce cas, une surcharge de mémoire.

Aussi sur Tech de guidage

Devez-vous utiliser une phrase secrète de synchronisation sur Chrome?

Sécurité vs performance

La désactivation de l'isolation de site entraîne une diminution de l'utilisation de la mémoire et, éventuellement, une amélioration des performances sur les périphériques bas de gamme. Toutefois, Chrome maîtrise assez bien la gestion de la mémoire disponible en suspendant les onglets inutilisés. Étant donné que l'utilisation de la mémoire varie considérablement d'un site à l'autre, il n'y a pas de réponse définitive. Sur les appareils dotés d'une mémoire système élevée, les différences de performances doivent être négligeables.

Conseil: De plus, vous pouvez également gérer vous-même manuellement les onglets pour ne pas encombrer la mémoire à l'aide d'extensions telles que The Great Discarder et The Great Suspender.

Mais voici le piège. En raison de la mise en œuvre de l'isolation de site, Chrome est supposé abandonner progressivement les mesures préventives préexistantes contre les attaques Spectre. Par conséquent, sa désactivation entraînera une exposition encore plus grande aux attaques malveillantes.

En pesant les deux, les vulnérabilités potentielles causées par Spectre, combinées à l'utilisation croissante de données personnelles, font de la désactivation de l'isolation de site une mauvaise idée. À moins que vous ne surfiez sur une machine bas de gamme et n'utilisiez aucune donnée personnelle, vous devriez alors envisager de désactiver cette fonctionnalité de sécurité essentielle.

Désactivation de l'isolation de site

La désactivation de l'isolation de site expose votre ordinateur à des menaces de sécurité importantes. Toutefois, si vous souhaitez poursuivre et désactiver la fonctionnalité, voici les étapes spécifiques à suivre.

Avertissement: avec l'isolation de site désactivée, évitez d'utiliser des données de navigation personnelles sur les sites Web. Il en va de même pour le stockage d'informations sensibles sur Chrome, telles que les mots de passe.

Étape 1: Dans un nouvel onglet, tapez chrome: // flags, puis appuyez sur Entrée pour accéder aux flags expérimentaux de Chrome.

Étape 2: Tapez Site Isolation dans la barre de recherche, puis appuyez sur Entrée.

Étape 3: Vous devriez voir deux drapeaux Chrome intitulés Isolation stricte de site et Désactivation d’essai d’isolation de site.

• Définissez l'indicateur d'isolation de site strict sur Désactivé. Sur certains appareils, le paramètre Désactivé peut être désactivé par défaut. Si c'est le cas, ne faites rien.
• Définissez l'indicateur de désactivation de l'essai d'isolation de site sur Désactivation (non recommandé).

Cliquez ensuite sur Relancer maintenant pour appliquer les modifications.

Étape 5: L'isolation de site est maintenant désactivée. Pour vérifier, tapez chrome: // process-internals dans un nouvel onglet, puis appuyez sur Entrée.

Le mode d'isolation de site doit se lire comme désactivé pour indiquer une confirmation. Pour activer l'isolation de site ultérieurement, revenez en arrière, modifiez les indicateurs tels qu'ils étaient auparavant et redémarrez Chrome.

Aussi sur Tech de guidage

#chrome

Cliquez ici pour voir notre page d'articles en chrome

Non, ça ne vaut pas le risque

La désactivation d'une fonctionnalité de sécurité Chrome essentielle telle que l'isolation de site pour réduire l'utilisation de la mémoire n'est pas garantie. Surtout en considérant la façon dont chaque site utilise la mémoire différemment. Il ne faut donc pas rechercher les gains de performance marginaux au coût potentiel de vos informations personnelles. Si vous éprouvez des difficultés en termes de performances, vous pouvez toujours envisager d’utiliser un autre navigateur, tel que Firefox Quantum, dont l’empreinte mémoire est nettement inférieure à celle de Chrome, avant de faire une éruption cutanée.