Contre Spectre, Chrome 67 isole mieux les sites par défaut

Sortie hier en version finale, Chrome 67 isole systématiquement les sites ouverts dans le navigateur. La fonction « Site isolation » n’est pas nouvelle, elle était proposée depuis la version 63, mais c’était jusque-là une option qui avait des inconvénients à l’usage. Google a amélioré la fonction depuis sa présentation, ce qui lui permet de l’activer désormais par défaut pour tous les utilisateurs, sur macOS, Windows, Linux et Chrome OS.

Les sites étaient déjà bien isolés dans Chrome, à la fois parce qu’ils sont ouverts depuis longtemps dans des processus séparés, et parce que les données stockées en local sont accessibles uniquement pour chaque site. Mais depuis la découverte de la faille Spectre en fin d’année dernière, on sait qu’il y a des techniques pour contourner ces protections en place. La fonction Site Isolation est une réponse de Google pour compléter ces mécanismes de défense et mieux protéger ses utilisateurs contre Spectre.

Dans le détail, le principal changement est que Chrome isole dans un processus non seulement chaque site ouvert dans un onglet, mais aussi chaque domaine à l’intérieur d’un onglet. La faille Spectre pouvait auparavant être exploitée si un site malveillant chargeait un site légitime avec une iframe, par exemple, puisque les deux sites partageaient alors le même processus et donc les mêmes données. À compter de Chrome 67, ça n’est plus le cas et cette attaque n’est plus possible.

Google prévient malgré tout qu’il reste un défaut : la consommation de RAM augmente en usage réel, de l’ordre de 10 % environ par rapport à avant. Les prochaines versions de Chrome vont continuer d’optimiser la fonction pour limiter cet impact. Il reste aussi du travail sur la version Android de Chrome, où la fonction n’est toujours pas activée par défaut. Par ailleurs, les développeurs vont améliorer cette sécurité, notamment pour la rendre plus générique et bloquer d’autres failles, pas seulement celles rassemblées sous le nom de Spectre.