WebGL : Mozilla donne la réplique à Microsoft

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 20 juin 2011 à 17h47
00B4000004058112-photo-webgl-logo-sq-gb.jpg
Face aux récents propos de Microsoft relatifs à l'insécurité de la technologie WebGL embarquée au sein des navigateurs, Mike Shaver, vice-président en charge de l'ingénierie chez Mozilla, argumente les choix établis pour Firefox.

En fin de semaine dernière, l'équipe du département de Microsoft Security avait expliqué via l'un de ses blogs les raisons pour lesquelles Microsoft avait choisi de favoriser sa technologie Direct3D au sein d'Internet Explorer plutôt que le standard WebGL. Établi par le groupe Khronos, WebGL permet de tirer parti de l'accélération matérielle pour le rendu des pages ainsi que pour afficher du contenu en 3D. Le système s'appuie sur l'usage du JavaScript afin de pouvoir communiquer avec les interfaces des pilotes Open GL ou OpenGL ES mises à disposition par les fabricants de cartes graphiques.

Microsoft revenait sur les découvertes du chercheur James Forshaw du cabinet de sécurité Context. Le mois dernier celui-ci déclarait qu'un script malveillant embarqué au sein d'un site Internet était suffisant pour mettre à mal un composant de la machine via un pilote non sécurisé ou présentant un bug. Une attaque pourrait alors être directement opérée sur la carte graphique et rendre l'ordinateur inutilisable. La firme de Redmond expliquait alors que les fabricants de cartes graphiques devraient mettre à disposition un système de mises à jour automatisées, Internet Explorer se présentant comme le vecteur potentiel d'une attaque.

01F4000004257086-photo-une-attaque-via-webgl.jpg


Face à cet argument Mike Shaver explique que si l'accélération matérielle est opérée par Direct3D au sein d'Internet Explorer et Silverlight sur Windows, le plugin s'appuierait sur OpenGL au sein de Mac OS X. Face à la responsabilité des fabricants de composants pointée par Microsoft, il ajoute : « au travers de nos discussions avec les développeurs de pilotes nous sommes rassurés de savoir que ces derniers, tout comme Microsoft, souhaitent proposer une solution sécurisée pour nos utilisateurs communs ». Mozilla bénéficierait par ailleurs de listes blanches des pilotes mises à jour régulièrement. Reste que vendredi dernier, une vulnérabilité précisément relative à l'implémentation de WebGL au sein de Firefox 4 avait été découverte et l'équipe de Mozilla Security conseillait alors de désactiver la technologie ou de migrer sur la version d'évaluation de Firefox 5.

Avi Bar-Zeev, Principal Architect chez Microsoft et spécialisé dans les technologies 3D, regrette les choix formulés par la société et affirme que Microsoft devra adopter WebGL. En revenant sur les débuts d'Active X, Il rappelle que l'équipe d'Internet Explorer fut la première à proposer des plugins afin d'enrichir les possibilités natives du navigateur. « A un moment, les plugins Active X était la principale vulnérabilité exploitée par les attaques sur le PC à partir du navigateur ». Il explique que ces attaques sont capables d'accéder aux composants de la machine avec des droits d'écritures sur le disque, et pouvant « lire vos données personnelles ou y laisser un virus ». Par opposition, WebGL n'est pas un plugin et ne peut ouvrir l'accès au disque dur, à la mémoire vive ou au processeur. « La vulnérabilité la plus sévère que nous connaissons aujourd'hui est le plantage de votre machine. Dans le pire des cas, il suffit de la redémarrer », conclut-il.
Guillaume Belfiore
Rédacteur en chef adjoint
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles