La lutte contre le phishing est sans doute la mère de toutes les batailles en matière de sécurité informatique. Dans ce contexte, les éditeurs de navigateurs - de Google à Microsoft en passant par Firefox et Opera pour ne citer qu'eux - ont pris depuis longtemps les devants pour améliorer leurs logiciels. La dernière annonce de la firme de Redmond de sécuriser davantage Chrome a en tout cas de quoi surprendre. Ou pas ? « Le phishing est un énorme problème, et les gens utilisent le navigateur de leur choix », avance Michael Cherry analyste au cabinet d'études Directions on Microsoft. Mais selon l’analyste, « cette décision permet aussi à Microsoft de protéger l'écosystème Windows ». Baptisée « Windows Defender Browser Protection » (WDBP), l'extension gratuite peut être ajoutée à Chrome pour Windows ou macOS, et après l’application d’un correctif post-lancement, à Chrome OS également. Comme les défenses intégrées dans Edge, l'add-on s'appuie sur la technologie SmartScreen de Microsoft. Celle-ci permet d’alerter les utilisateurs quand ils naviguent sur des sites Web potentiellement malveillants pouvant charger des malwares sur leur machine ou quand ils cliquent sur des liens intégrés aux messages électroniques pouvant rediriger vers des URL de phishing connues
Microsoft conserve sur ses serveurs une liste mise à jour en permanence de ces mauvaises redirections potentielles. La dite liste est en partie constituée à partir de télémesures envoyées par les utilisateurs de SmartScreen. Il semble que c’est aussi ce que fait WDBP : Microsoft n'a pas documenté en détail le fonctionnement de l'extension en dehors des quelques informations générales publiées sur son site, informations que l’on retrouve dans le descriptif disponible sur le Chrome Web Store libellé ainsi : « Si vous cliquez sur un lien malveillant dans un courriel ou si vous allez sur un site spécialement conçu pour soustraire des informations financières, personnelles ou sensibles, ou un site Web hébergeant des logiciels malveillants, « Windows Defender Browser Protection » pourra vérifier si ce site est listé dans le répertoire d’URLs malveillantes connues de Microsoft et mis à jour en permanence ». Autrement dit, SmartScreen.
Protéger tous les utilisateurs Windows ou uniquement ceux qui utilisent Edge ?
Dans la présentation en ligne de WDBP, Microsoft cite une recherche réalisée en 2017 par le laboratoire NSS Labs. D’après le Labs, Edge est le navigateur le mieux armé pour bloquer le phishing et les attaques de malwares d’ingénierie sociale. Toujours selon ce Labs, Edge parvient à repérer 99 % de toutes les tentatives, contre 87 % pour Chrome et 70 % pour Firefox de Mozilla, quand les deux rivaux s’appuyaient sur l'API Safe Browsing de Google.
Reste une question : Pourquoi Microsoft a-t-il renoncé à l'un des rares atouts de Edge au profit du navigateur concurrent ? Michael Cherry pense que Microsoft était confrontée à un choix cornélien : protéger tous les utilisateurs Windows ou uniquement ceux qui utilisent Edge (ou l'ancien et obsolète Internet Explorer). « Edge n'a pas convaincu », explique Michael Cherry. Les statistiques montrent une faible adoption de Edge par les utilisateurs de Windows 10. « Par contre, si les gens sont victimes de phishing, ils n’incrimineront pas le navigateur, qui n'est qu'une application. Ils demanderont à Microsoft pourquoi il n’a pas protégé le système Windows. C'est donc un choix d'autodéfense ». Edge, lancé il y a presque trois ans, n'a pas réussi à attirer un public important. Selon les dernières données du fournisseur d'analyses Net Applications, la part de Edge sur l'ensemble des navigateurs est de 4 % à peine et elle n’atteint que 13 % parmi les utilisateurs de Windows 10. Comparativement, Chrome a été choisi par 61 % des utilisateurs Internet au niveau mondial.
Renforcer la sécurité du roi des navigateurs
D'autres raisons peuvent expliquer le choix de Microsoft. Edge et IE ne représentant qu'une partie des utilisateurs d'Internet - en mars, Net Applications estimait la part combinée des deux navigateurs à 18 % - Microsoft ne récolte pas suffisamment de données télémétriques, cruciales pour SmartScreen, comme c’était le cas auparavant. « L'explication la plus simple justifiant l’accessibilité de SmartScreen sur Chrome, c’est que l'entreprise gagne en visibilité sur les attaques rencontrées par les utilisateurs de Chrome, qui capte 60 % du marché des navigateurs Internet », a écrit John Dunn dans un blog de l’entreprise de sécurité Sophos. « Cela permet en retour au service de messagerie Office 365 Exchange de Microsoft d’offrir une meilleure protection pour concurrencer la G Suite de Google ».
Microsoft a intégré SmartScreen à d’autres applications que Edge et Internet Explorer. Son service de messagerie Web Outlook.com et son client de messagerie Outlook - qui représente un élément important d'Office 365 - ainsi que son serveur de messagerie Exchange, s’appuient tous sur SmartScreen pour se protéger contre le phishing et les malwares. La part de marché des navigateurs de Microsoft ayant fondu - au moment de l'introduction de Edge, mi-2015, Internet Explorer détenait encore 53 % de parts de marché - l’éditeur réalise peut-être qu'il ne remonte plus assez de données de ses navigateurs Internet pour alimenter SmartScreen. Cette logique colle avec le positionnement de Microsoft sur l'entreprise : sans données suffisantes pour SmartScreen, des outils commerciaux comme Outlook et Exchange risquent d’être moins performants dans la détection des URL malveillantes.
Windows Defender Browser Protection est disponible sur le Chrome Web Store de Google.