Comment renforcer la sécurité de son navigateur web ?
Le navigateur Web est une des portes d’entrée privilégiées des pirates. Comment les éditeurs protègent-ils les internautes ? Quels outils employer pour renforcer cette protection ? Comment se défendre également contre les sites malfaisants ?
Le premier danger qui inquiète les internautes, c’est la capacité qu’ont les pirates de prendre le contrôle de leur ordinateur à distance, au travers des failles des navigateurs web et des systèmes d’exploitation. Crainte justifiée : lors du premier jour du concours de hacking Pown2Own 2020, les sécurités de Safari ont en effet été traversées. Ainsi que celles de macOS, Ubuntu et Windows 10.
Des techniques de protection en évolution constante
Certains navigateurs web intègrent un “bac à sable” : si un pirate arrive à exploiter une faille du navigateur, il va s’enliser dans le bac à sable qui le protège. Toutefois, cette technique n’est pas imparable. Sur le terrain des failles critiques, Firefox, sans bac à sable, s’en sort ainsi aussi bien que Chrome, qui en dispose pourtant d’un. La première règle reste donc avant tout d’opter pour un navigateur web activement développé et sécurisé.
Le second point est d’utiliser au maximum les outils permettant de réduire la surface d’attaque. Sous macOS, la solution App Sandbox ajoute un bac à sable à toutes les applications. Sous Windows 10, Windows Defender Application Guard (à activer manuellement dans le panneau “Activer ou désactiver des fonctionnalités Windows”) fait fonctionner Edge dans un “conteneur”. Les conteneurs ajoutent une couche supplémentaire entre l’application et le système d’exploitation, ce qui permet de mieux freiner les pirates (par rapport à un bac à sable classique).
Les solutions de sécurité proposent aussi des techniques de sécurisation des navigateurs web : contrôle de la dangerosité des sites visités, création d’un bac à sable autour du navigateur ou fourniture d’un navigateur web sécurisé. Même les constructeurs s’y mettent, comme HP avec Sure Click, une solution permettant de faire fonctionner le navigateur web dans une micro machine virtuelle.
Et pour les mobiles/ smartphones ?
Dans le monde des mobiles ou smartphones, l’isolation entre les applications et le système d’exploitation (ou entre applications) est strictement assurée. Les pirates auront donc beaucoup de mal à corrompre Android ou iOS, même si le vol de données personnelles demeure un risque important.
Savoir se protéger des sites dangereux
Sur le web, la présence ou l’injection de code malveillant au sein d’un site permet de rediriger l’internaute, à son insu, vers un site tiers, de lui voler des données, ou encore de tenter des arnaques. La plus connue est la fausse alerte de sécurité s’ouvrant en plein écran, bloquant la machine et demandant d’appeler un numéro de support technique payant.
Il faut également se méfier des scripts de cryptomonnaie. Les cryptomonnaies, comme le Bitcoin, sont générées au travers de lourds calculs. Certains pirates font réaliser ces calculs par les navigateurs web des internautes, en insérant du code spécifique dans les pages web. Par exemple au travers de fausses publicités. Ceci se traduit par une surcharge des machines, dont la durée de vie sera abaissée, et une consommation électrique accrue.
Tous les éditeurs des navigateurs web majeurs proposent des listes de protection évitant de visiter ou charger ces ressources malveillantes. Elles restent toutefois insuffisantes. Les solutions de sécurité peuvent renforcer cette protection, mais ce sont finalement des extensions dédiées gratuites qui seront les plus intraitables en la matière. La meilleure en date est uBlock Origin, capable de bloquer publicités, espions et sites dangereux. Notez qu’il est possible de déployer des règles de blocage uBlock Origin spécifiques sous Chrome et Firefox de façon centralisée. Un avantage pour les responsables informatiques.
Dans le monde mobile, les navigateurs web supportant les extensions restent rares. Il faudra donc redoubler de prudence et éviter à tout prix les sites potentiellement dangereux (streaming, etc.)
David FEUGEY