Une nouvelle architecture baptisée « Site Isolation » protège les utilisateurs de manière plus efficace contre les attaques Spectre. Mais elle produit une surcharge de 10 à 13 % au niveau de la mémoire.

Vous avez l’impression que, depuis quelque temps, Chrome alourdit le fonctionnement de votre ordinateur ? C’est normal, car depuis quelques mois, le navigateur consomme sensiblement plus de mémoire. En effet, Google a secrètement modifié la manière dont les pages Web sont rendues et gérées par son logiciel, et cela depuis la version 67 parue en mai dernier. Cette nouvelle architecture s’appelle « Site Isolation » et contribue à sécuriser davantage les utilisateurs, et notamment contre les fameuses attaques Spectre.

L’idée est assez simple. Il s’agit de séparer les sites dans des processus différents. Jusqu’à présent, Chrome utilisait déjà un processus différent pour chaque onglet de navigation. Le problème, c’est qu’une page peut contenir des éléments provenant de sites différents mais tous étaient gérés au travers du même processus.

Comme Spectre permet d’accéder sans restriction aux données de l’espace mémoire d’un processus, un site malveillant pouvait donc voler les informations relatives à un autre site qui se trouve sur la même page.

Pour empêcher cela, Google a décidé de pousser l’isolation encore plus loin en générant un processus pour chaque rendu de site, même s’ils sont sur une même page.

Google -

Cette sécurité additionnelle a pour conséquence d’augmenter le nombre de processus, ce qui n’est pas neutre au niveau de la performance. Ainsi, Google estime que « Site Isolation » provoque une surcharge de la mémoire de 10 à 13 %.

Google a introduit cette architecture de manière progressive, même avant la découverte de Spectre. Elle a d’abord été proposée sous la forme d’une option de paramétrage pour les entreprises à partir de la version 63. Elle a ensuite été ouverte au grand public à partir de la version 67.

A ce jour, 99 % des utilisateurs de Chrome utilisent « Site Isolation » sans le savoir, car cette fonction est activée par défaut sur Windows, macOS, Linux et ChromeOS.

Il reste maintenant à l’intégrer sur Android. A partir de la version 68, elle sera disponible sous la forme d’une option de paramétrage pour les entreprises. En fonction des résultats, Google pourrait alors l’activer pour tous.


Deux nouvelles variantes de Spectre

La séquence d’horreur est loin d'être finie. Deux nouvelles variantes de l’attaque Spectre viennent d’être révélées par un groupe de chercheurs. La première est baptisée « Spectre 1.1 » et exploite l’exécution spéculative pour générer des dépassements de mémoire tampon et, ainsi, accéder à la mémoire CPU. La seconde, « Spectre 1.2 », repose sur une technique similaire à Meltdown et permet de traverser des bacs à sable.