93 Membres 1308 Contributions

Open Community

Sécurité des navigateurs Web

Publiée par Xavier P. - Stormshield dans technique

Avec l'emergence des applications Web et du cloud (que ce soit pour une utilisation en entreprise ou personnelle), la sécurité d'un navigateur Web est devenu un enjeu primordial pour tous les éditeurs de navigateurs qui sont principalement :

  • Microsoft et son navigateur Internet Explorer
  • Mozilla et son navigateur Firefox
  • Google et son navigateur Google Chrome
  • Apple et son navigateur Safari
  • Opera Software et son navigateur éponyme Opera

Des risques ?

Lorsque je navigue sur Internet, je peux être exposé à toutes sortes de menaces, certaines pouvant être graves et divulger (ou m'inciter à divulger) mes informations les plus confidentiels (mot de passe, informations bancaires, etc.).
Ces menaces peuvent prendre différentes formes :

  • Exploitation de failles dans les navigateurs : soit sur le code (bug, erreur de conception), soit sur les plugins tierces du navigateurs (ActiveX, Flash, extentions etc.).
  • Le phishing ou l'usurpation d'url utilisée pour tromper les utilisateurs en prenant l'apparence de site légitimes (e-commerce, banque en ligne etc.) et inciter à saisir des informations confidentielles (mot de passe, informations bancaires etc.).
  • L'ajout de code malveillant dans les pages pouvant permettre le vol de cookies ou entraîner le téléchargement de fichiers vérolés l'exécution de scripts malveillants. Il arrive que ces codes soient inclus par le webmaster directement, mais plus souvent, cela peut arriver lorsque le site est victime de faille type XSS.

Comment s'en prémunir ?

Même en restant attentif lors de sa navigation sur Internet, on voit que certaines menaces peuvent être indépendantes de notre volonté ou qu'il peut être facile de tomber dans le piège.
Quelles sont donc les réponses que l'on peut apporter ?

Politique de mise à jour

La première chose est d'appliquer une politique de mise à jour stricte : ces mises à jour servent à rajouter des fonctionnalités, mais aussi à corriger des failles de sécurité!
Les mises à jour peuvent s'appliquer de manière différente sur les navigateurs :

  • Les mises à jour silencieuses de Google Chrome facilitent l'installation. L'intégration de Flash player dans Chrome va également dans ce sens.
  • Firefox, depuis sa version 10, a emboité le pas de Google Chrome et effectue également ses mises à jour en arrière plan.
  • L'utilisation du service Windows Update (sous réserve qu'il soit activé) permet d'avoir constamment une version d'Internet Explorer à jour. Microsoft a annoncé récemment des mises à jour silencieuses de son navigateur via Windows Update!
  • Safari et Opera ont fait le choix d'alerter l'utilisateur lors de la disponibilité de nouvelles mises à jour, libre à chacun de prendre le risque de les refuser.

Code malveillant et gestion des plugins

L'installation des plugins tierces peut être risqué pour le navigateur : ceux ci s'installent (ou s'exécutent) généralement avec des privilèges plus élevés qu'un site web "classique".
Symantec fournit à ce sujet un rapport intéressant sur les vulnérabilités liées aux plugins des navigateurs pour 2009 et 2010 : en 2009, 302 vulnérabilités ont été rapportées par Symantec contre 346 en 2010, avec la répartition suivante :
On peut voir que le nombre de vulnérabilités a augmenté entre 2009 et 2010 a augmenté de quasiment 15%!

Pour contrer les différents problèmes pouvant survenir, les versions récentes de ces navigateurs utilisent le principe de sandbox.
Cette sandbox va permettre de "cloisonner" les différents processus et leur interdire d'écrire sur le disque ou d'accéder en lecture à certains emplacements, garantissant une protection des données et que chaque processus ne peut être contaminé par un autre.

Filtre anti-hameçonnage

Les versions récentes de ces navigateurs (à partir de la version 7 d'Internet Explorer) utilisent un filtre anti-hameçonnage permettant de vérifier qu'un site ne fait pas partie d'une blacklist, cette blacklist étant gérée soit par l'éditeur, soit par des sociétés spécialisées, soit les deux.

Utilisation de certificats SSL

Tous ces navigateurs permettent une navigation sécurisée par certificat SSL.
Ces navigateurs sont également compatible (hormis version très ancienne) avec les certificats SSL EV (Extended Validation) : ce type de certificat fournit des informations à votre navigateur afin d'identifier l'identité du site Web. Cela vous permet d'avoir quelques informations sur le certificat utilisé (le nom de la compagnie possédant le certificat, l'autorité de certification émettrice etc.) et ainsi d'être certain que vos échanges sont de confiance et sécurisés. Notez qu'en présence de ce type de certificat, votre navigateur va afficher un visuel (la barre d'adresse "verte") vous permettant d'être certain du certificat utilisé.
Voici un rappel des codes couleurs et leur signification (source verisign) :

  • Barre d'adresse verte : le site Web est hautement sécurisé et a fait l'objet d'une authentification d'une authentification rigoureuse.
  • Barre d'adresse blanche ou sans couleur : signifie que la page est cryptée avec SSL, mais qu'aucune information relative à l'identité n'est disponible. Vérifiez bien l'adresse du site Web ou cliquez sur le verrou pour afficher les informations de sécurité relatives au site Web.
  • Barre d'adresse orange : Indique une activité suspecte. Certaines caractéristiques du site concordent avec le comportement de sites Web frauduleux. Le site n'a cependant pas été identifié comme un site Web frauduleux.
  • Barre d'adresse rouge : Arrêtez immédiatement ! Le site est un site de phishing connu et donne une fausse idée de son identité ou il y a un problème avec le certificat qui sécurise le site (c.-à-d. qu'il a été révoqué, que le site pour lequel il a été émis n'est pas celui-ci ou que sa date d'expiration est passée). Vérifiez que vous avez correctement saisi l'adresse du site Web.

Dorénavant, lorsque vous devez saisir des informations confidentielles :

  • Vérifiez que la page que vous utilisez est sécurisée par HTTPS : si vous devez saisir vos coordonnées bancaires et que ce n'est pas le cas, vous êtes sûrement confronté à une usurpation d'url!
  • Vérifiez la barre d'adresse "verte" pour tout échange nécessitant un minimum de sécurité (achat sur Internet par exemple)!

Que peut m'apporter mon appliance Fast360 ?

Au sein d'une entreprise, les utilisations peuvent être variées, la majorité des utilisateurs n'étant que peu, ou pas, au courant de ces risques et comment s'en prémunir.
Le travail d'un administrateur va être double :

  • Vérifiez que les postes de travail sont correctement configurés et que les mises à jour sont appliquées régulièrement. Malheureusement, ce travail est fastidieux et certaines entreprises désactivent certaines mises à jour, notamment les mises à jour Internet Explorer, afin de garantir la compatibilité du parc applicatif (et donc, au détriment des règles élémentaires de sécurité!).
  • Vérifiez le périmètre réseau.

Une appliance Fast360 va permettre de répondre à ces deux problématiques et garantir un niveau de sécurité élevé malgré des utilisations disparates :

  • Le filtrage d'URL va me permettre de tenir des listes de sites en blacklists : les URL malveillants sont ainsi bloqués automatiquement même si les listes gérées par votre navigateur ne sont pas à jour!
  • Le filtrage antivirus va me permettre de me prémunir du téléchargement de fichiers vérolés et de leur propagation sur le réseau.
  • La technologie Fast360 va en outre me permettre d'effectuer une analyse du protocole HTTP(S) tant au niveau protocolaire qu'au niveau applicatif.
  • Dans bon nombre d'entreprise, il n'est pas possible d'effectuer les mises à jour de navigateur (gestion du parc applicatif), une appliance Fast360 va alors permettre de se prémunir contre ces attaques et ces comportements malveillants en toute transparence!

Conclusion

Bien sûr, tous ces mécanismes de sécurité ne doivent pas faire oublier certaines règles essentielles :

  • N'utilisez pas un mot de passe trop simple, évitez par exemple "123456", "azerty" ou votre date de naissance (qui font encore aujourd'hui partie des mots de passes les plus couramment utilisés)!
  • Evitez de réutiliser le même mot de passe d'un site à l'autre : changez régulièrement et utilisez un mot de passe différent pour votre boite mail, l'accès à vos comptes bancaires ou lors de l'inscription à des sites.
  • Faites attention aux sites que vous visitez, ne croyez pas tout ce qu'on vous dit et prenez garde lorsqu'un site vous demande des informations confidentielles!

Sachez également que tous les ans, la conférence pwn2own organise un concours de hack sur les principaux navigateurs du marché. L'année dernière avait par exemple menée la vie dure à Microsoft et Apple....
La session 2012 aura lieu en Mars, qui sera le plus résistant ? Pour ceux qui veulent aller plus loin :

Pour publier un commentaire, merci de vous authentifier.

Messages d'alerte