Firefox est en train de déployer un nouveau mode de sécurité pour isoler les sites entre eux. L’option est activée par défaut sur Google Chrome, sauf si vous utilisez une version très ancienne du navigateur. Voici comment activer l’option dans les deux cas.

En sécurité informatique, l’une des bonnes pratiques consiste à bien compartimenter les choses. C’est tout l’intérêt du principe du bac à sable (ou sandbox en anglais), qui sépare l’exécution d’un programme du reste du système. Pourquoi parle-t-on de bac à sable ? Car comme dans ces emplacements où jouent les enfants, leur espace de jeu est délimité et ils ne s’égarent pas ailleurs.

C’est justement ce principe de cloisonnement que Firefox propose avec les versions les plus récentes du navigateur web. Le 18 mai 2021, la rubrique dédiée aux hacks du logiciel a présenté un réglage permettant d’isoler les sites les uns par rapport aux autres. Ce projet, en gestation depuis quelques années, est maintenant accessible pour tout le monde, en l’activant via les paramètres avancés.

Site Isolation avant après

L’intérêt du mode isolement, avant et après. // Source : Mozilla

Concrètement, l’idée est d’empêcher que le site A puisse accéder d’une façon ou d’une autre au site B. Pour le dire autrement, un site malveillant ouvert par inadvertance ne pourrait pas accéder à des données visibles dans un autre onglet, ce qui peut être très dommageable si dans cet onglet vous avez ouvert votre compte bancaire en inscrivant votre identifiant et votre mot de passe.

« Comme tout navigateur web, Firefox charge du code provenant de sites web non fiables et potentiellement hostiles et l’exécute sur votre ordinateur. Pour vous protéger contre de nouveaux types d’attaques provenant de sites malveillants et pour respecter les principes de sécurité de Mozilla, nous avons entrepris de remanier Firefox sur le bureau », explique Anny Gakhokidze, qui a planché dessus.

Il s’agit de charger chaque site dans son propre processus de système d’exploitation, de façon à éviter les fuites. C’est simple et basique sur le papier, mais encore fallait-il traduire ça par la technique. La fondation a mis du temps à parvenir, d’autant qu’il fallait aussi gérer le cas de figure où, sur la page d’un site web A est chargé du contenu tiers d’un site B, via un bout de code d’intégration.

Cette approche n’est pas toute nouvelle : si Firefox s’y met aujourd’hui, elle existe en fait depuis des années dans Google Chrome, un autre navigateur. Plus généralement, le principe de compartimenter l’exécution de codes informatiques n’est pas non plus récent. Ces changements ont été permis notamment par une bascule technique en 2016, quand Firefox s’est mis au multi-processus.

Source : Mozilla

La compartimentation concerne aussi les contenus tiers chargés dans une page web. // Source : Mozilla

Comment avoir l’isolement des sites dans Firefox ?

Si vous voulez bénéficier de ce réglage dans Firefox, la procédure nécessite de passer dans les paramètres avancés.

  • Ceux-ci sont accessibles en inscrivant about:config dans la barre d’adresse ;
  • Cliquez sur le bouton « accepter le risque et poursuivre ». Ce message s’affiche car vous entrez dans les parties sensibles du navigateur ;
  • Cherchez le paramètre fission.autostart dans la barre de recherche ;
  • Cliquez dessus de façon à faire passer sa valeur à true ;
  • Quittez les préférences avancées (about:config) et redémarrez Firefox.

Comment avoir l’isolement des sites dans Chrome ?

Par défaut, Google Chrome propose déjà l’isolement des sites depuis sa version 67 — qui date de… janvier 2018. Le dispositif existait même de façon optionnelle depuis Chrome 63. À supposer que vous utilisez encore une version antédiluvienne de Chrome, voici la marche à suivre :

  • Dans Chrome, tapez chrome://flags/#enable-site-per-process dans la barre d’adresse et pressez le bouton Entrée ;
  • Choisissez Activer à côté de l’option « Isolation des sites stricte » ;
  • Quittez et redémarrez Chrome ;
  • Sinon, mettez simplement Chrome à jour avec une version récente pour qu’elle soit tout de suite opérationnelle.

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.