0
En fin de semaine dernière, l'équipe du département de Microsoft Security avait expliqué via l'un de ses blogs les raisons pour lesquelles Microsoft avait choisi de favoriser sa technologie Direct3D au sein d'Internet Explorer plutôt que le standard WebGL. Établi par le groupe Khronos, WebGL permet de tirer parti de l'accélération matérielle pour le rendu des pages ainsi que pour afficher du contenu en 3D. Le système s'appuie sur l'usage du JavaScript afin de pouvoir communiquer avec les interfaces des pilotes Open GL ou OpenGL ES mises à disposition par les fabricants de cartes graphiques.
Microsoft revenait sur les découvertes du chercheur James Forshaw du cabinet de sécurité Context. Le mois dernier celui-ci déclarait qu'un script malveillant embarqué au sein d'un site Internet était suffisant pour mettre à mal un composant de la machine via un pilote non sécurisé ou présentant un bug. Une attaque pourrait alors être directement opérée sur la carte graphique et rendre l'ordinateur inutilisable. La firme de Redmond expliquait alors que les fabricants de cartes graphiques devraient mettre à disposition un système de mises à jour automatisées, Internet Explorer se présentant comme le vecteur potentiel d'une attaque.
Face à cet argument Mike Shaver explique que si l'accélération matérielle est opérée par Direct3D au sein d'Internet Explorer et Silverlight sur Windows, le plugin s'appuierait sur OpenGL au sein de Mac OS X. Face à la responsabilité des fabricants de composants pointée par Microsoft, il ajoute : « au travers de nos discussions avec les développeurs de pilotes nous sommes rassurés de savoir que ces derniers, tout comme Microsoft, souhaitent proposer une solution sécurisée pour nos utilisateurs communs ». Mozilla bénéficierait par ailleurs de listes blanches des pilotes mises à jour régulièrement. Reste que vendredi dernier, une vulnérabilité précisément relative à l'implémentation de WebGL au sein de Firefox 4 avait été découverte et l'équipe de Mozilla Security conseillait alors de désactiver la technologie ou de migrer sur la version d'évaluation de Firefox 5.
Avi Bar-Zeev, Principal Architect chez Microsoft et spécialisé dans les technologies 3D, regrette les choix formulés par la société et affirme que Microsoft devra adopter WebGL. En revenant sur les débuts d'Active X, Il rappelle que l'équipe d'Internet Explorer fut la première à proposer des plugins afin d'enrichir les possibilités natives du navigateur. « A un moment, les plugins Active X était la principale vulnérabilité exploitée par les attaques sur le PC à partir du navigateur ». Il explique que ces attaques sont capables d'accéder aux composants de la machine avec des droits d'écritures sur le disque, et pouvant « lire vos données personnelles ou y laisser un virus ». Par opposition, WebGL n'est pas un plugin et ne peut ouvrir l'accès au disque dur, à la mémoire vive ou au processeur. « La vulnérabilité la plus sévère que nous connaissons aujourd'hui est le plantage de votre machine. Dans le pire des cas, il suffit de la redémarrer », conclut-il.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Lire d'autres articles
