Google Chrome a annoncé son intention d’interdire aux sites Web publics d’accéder directement aux points de terminaison situés dans des réseaux privés dans le cadre d’un remaniement majeur de la sécurité à venir pour prévenir les intrusions via le navigateur.

Le changement proposé devrait être déployé en deux phases comprenant les versions Chrome 98 et Chrome 101 prévues dans les mois à venir via une spécification W3C nouvellement implémentée appelée accès réseau privé (PNA).

Chrome commencera à envoyer une demande de contrôle préalable CORS avant toute demande de réseau privé pour une sous-ressource, qui demande une autorisation explicite du serveur cible.

Cela signifie qu’à partir de la version 101 de Chrome, tout site Web accessible via Internet sera obligé de demander l’autorisation explicite du navigateur avant de pouvoir accéder aux ressources du réseau interne. En d’autres termes, la nouvelle spécification PNA ajoute une disposition à l’intérieur du navigateur à travers laquelle les sites Web peuvent demander à des serveurs fermés derrière des réseaux locaux d’obtenir une connexion.

La spécification étend également le protocole CORS (Cross-Origin Resource Sharing) de sorte que les sites Web doivent désormais demander explicitement une subvention aux serveurs sur les réseaux privés avant d’être autorisés à envoyer des demandes arbitraires.

L’objectif, ont déclaré les chercheurs, est de protéger les utilisateurs contre les attaques de falsification de requêtes intersites (CSRF) ciblant les routeurs et autres appareils sur les réseaux privés, qui permettent aux mauvais acteurs de rediriger des utilisateurs sans méfiance vers des domaines malveillants.

Il n’y a pas que Chrome. Le navigateur Edge basé sur Chromium de Microsoft a ajouté un nouveau mode de navigation au canal bêta (version 98.0.1108.23) qui vise à apporter une couche de sécurité supplémentaire pour atténuer l’exploitation future dans la nature des vulnérabilités zero-day inconnues.

Cette fonctionnalité apporte la protection de la pile renforcée par le matériel, la protection contre les codes arbitraires (ACG) et la protection contre les flux de contenu (CFG) comme mesures d'atténuation de la sécurité pour renforcer la sécurité des utilisateurs sur le Web.