Microsoft pointe les vulnérabilités de WebGL

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 17 juin 2011 à 11h50
0096000003552702-photo-ie9-logo-mikeklo-clubic.jpg
La technologie WebGL verra-t-elle le jour au sein du navigateur Internet Explorer ? Probablement pas tout de suite. Microsoft estime en effet que la technologie n'est pas assez sécurisée.

Publiées au mois de mars dernier, les spécifications de WebGL 1.0 ont été mises en place par le groupe Khronos. Concrètement il s'agit d'une technologie s'appuyant sur l'usage de JavaScript afin de pouvoir communiquer avec les interfaces des pilotes Open GL ou OpenGL ES mises à disposition par les fabricants de cartes graphiques. Embarqué par défaut au sein de Firefox 4 et Chrome et disponible en option sur Safari, WebGL permet de tirer parti de l'accélération matérielle pour le rendu des pages ainsi que pour afficher du contenu en 3D. Pour l'heure Internet Explorer 9 utilise Direct3D.

L'équipe du département de Microsoft Security n'a cependant pas été convaincue et estime que WebGL, tel qu'il est finalisé aujourd'hui dans sa version 1.0, présente trop de risques de sécurité. La firme revient notamment sur la découverte du chercheur James Forshaw du cabinet de sécurité Context. Le mois dernier celui-ci déclarait qu'un script malveillant embarqué au sein d'un site Internet serait suffisant pour mettre à mal un composant de la machine via un pilote non sécurisé ou présentant un bug. Une attaque pourrait alors être directement opérée sur la carte graphique et rendre l'ordinateur inutilisable.

01F4000004257086-photo-une-attaque-via-webgl.jpg


Face à ce problème Microsoft déclare : « nous nous attendons à trouver des bugs qui n'existent que sur certaines plateformes ou certaines cartes graphiques, facilitant alors les attaques ciblées ».

Aussi Microsoft précise que les failles exploitées ne proviennent pas du navigateur mais bien du pilote de la carte écrit par les constructeurs tels que ATI, Nvidia ou encore Intel. Aussi il deviendrait plus difficile de sécuriser la machine d'un utilisateur. « Sans un modèle de service de sécurité efficace pour les pilotes de cartes graphiques, les utilisateurs doivent choisir entre passer outre la protection afin de pouvoir utiliser WebGL sur leur matériel ou de rester non sécurisé si une configuration vulnérable n'est pas correctement désactivée », affirme Microsoft en ajoutant que les utilisateurs ne sont pas habitués à mettre à jour leurs pilotes de carte graphique.

Finalement WebGL 1.0 ne s'avérerait pas compatible avec les critères de sécurité de la société. Malgré les efforts et les investissements de Microsoft autour des nouvelles spécifications du HTML5, la firme a cette fois choisi de privilégier la technologie propriétaire Direct3D pour la prise en charge de l'accélération matérielle.

Mise à jour (Article initialement publié à 11h50)
Sur son blog dédié à la sécurité, la fondation Mozilla explique avoir découvert une faille de sécurité due à l'implémentation de la technologie WebGL sur Firefox 4. Cette faille pourrait potentiellement permettre à une personne malveillante de récupérer les informations personnelles d'un utilisateur. Un correctif sera déployé au sein de la prochaine mouture du navigateur, laquelle est prévue pour le 21 juin prochain. Mozilla précise que cette vulnérabilité est propre à Firefox. En attendant il est conseillé de désactiver WebGL en tapant about:config dans la barre d'adresse du navigateur puis en choisissant la valeur true à la propriété webgl.disabled. L'internaute est également invité à télécharger la version bêta de Firefox 5.
Guillaume Belfiore
Rédacteur en chef adjoint
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles