Gazelle : un projet de navigateur ultra-sécurisé chez Microsoft
Régulièrement critiqué pour les nombreuses failles de sécurité d'Internet Explorer, Microsoft veut prouver qu'il peut faire un navigateur parfaitement sécurisé. Du moins, plus sûr que l'actuel IE et son successeur IE 8, mais aussi que Mozilla Firefox ou Google Chrome. Les chercheurs de l'éditeur viennent de publier un document expliquant ce nouveau projet baptisé Gazelle. Microsoft veut revoir complètement la conception du navigateur L'idée est de revoir complètement la conception des navigateurs. Ceux-ci ne doivent plus afficher des pages Web statiques, mais agréger du contenu dynamique provenant de la même source ou non. Gazelle est donc basé sur un micro-système d'exploitation gérant toutes les interactions avec l'OS de l'ordinateur sur lequel il est installé. Il va ensuite examiner indépendamment tous les éléments d'une page Web (cadres interactifs, publicités, plug-in...) pour déterminer si l'affichage est sûr. Ainsi, aucune attaque ne devrait pouvoir affecter l'ordinateur hôte. Les auteurs de Gazelle ont aussi pris en compte un nouveau type d'attaque : la fenêtre s'affichant subrepticement sous la souris au moment du clic, un piratage par détournement de clic, ou « clickjacking », qui a le vent en poupe. Pour éviter cela, Gazelle interdit tout clic sur une zone nouvellement exposée pendant une seconde - le temps pour l'utilisateur de bien se rendre compte de l'endroit où il clique. Une mesure qui devra faire ses preuves face à des calques transparents. De plus, pour éviter certains piratages liés à l'utilisation de plug-in, Gazelle les exécute en mode « bac à sable » de façon à ce que leurs éventuelles failles ne puissent affecter que la page Web affichée et non permettre l'accès au reste de l'ordinateur. Toutefois, ce mode de fonctionnement nécessite que les éditeurs créateurs de plug-in réécrivent complètement leurs produits pour les adapter à Gazelle - ce qui paraît assez improbable. Gazelle ne fait pas complètement table rase À ce stade de son développement, soit 5 000 lignes de code C#, Gazelle ne renie pas complètement l'héritage d'Internet Explorer et s'appuie pour tout ce qui ne concerne pas la sécurité sur le code de son aîné, et notamment le moteur de rendu Trident. Pour l'instant au stade du prototype, Gazelle n'a pas pour but d'être le successeur d'Internet Explorer, ni d'être commercialisé prochainement. Il n'est même pas disponible hors des laboratoires de Microsoft à Redmond. Et comme le reconnaissent volontiers les chercheurs, ses performances devront d'abord être améliorées, car hormis au niveau du temps de chargement (réduit grâce au principe du micro-noyau), Gazelle est aujourd'hui plus lent qu'IE7. Lire aussi : Symantec veut sécuriser le navigateur en le virtualisant Internet Explorer 8 serait mal protégé contre le 'clickjacking'