{"id":7,"date":"2008-07-13T16:43:06","date_gmt":"2008-07-13T15:43:06","guid":{"rendered":"http:\/\/vdeffontaines.free.fr\/newblog\/?p=7"},"modified":"2008-08-15T09:28:56","modified_gmt":"2008-08-15T08:28:56","slug":"naviguer-de-maniere-securisee","status":"publish","type":"post","link":"https:\/\/blog.gryzor.com\/index.php\/2008\/07\/13\/naviguer-de-maniere-securisee\/","title":{"rendered":"Naviguer de mani\u00e8re s\u00e9curis\u00e9e"},"content":{"rendered":"

Comme l’ont soulign\u00e9 plusieurs conf\u00e9rences du SSTIC, la s\u00e9curit\u00e9 des navigateurs web les plus utilis\u00e9s est catastrophique. Je ne parle m\u00eame pas d’internet explorer, le sujet a \u00e9t\u00e9 explor\u00e9 de multiples fois. Firefox n’est pas en reste : les worms, bankers et derniers virus en tous genre commencent \u00e0 le g\u00e9rer, ce qui souligne bien qu’il est vuln\u00e9rable, d’une mani\u00e8re ou d’une autre \u00e0 des attaques (cf la conf\u00e9rence du SSTIC sur Anserin<\/a>).<\/p>\n

Certaines recherches<\/a> (EDIT : et la pratique<\/a>) ont montr\u00e9 que Firefox est extr\u00eamement perm\u00e9able \u00e0 des attaques visant l’utilisateur final : il est possible d’installer des extensions “fant\u00f4mes”, c’est \u00e0 dire que l’utilisateur de firefox n’a aucun moyen de d\u00e9tecter qu’une extension a \u00e9t\u00e9 install\u00e9e : aucune confirmation n’est demand\u00e9e, l’extension n’appara\u00eet pas dans la liste…<\/p>\n

Par ailleurs, les extensions Firefox ne sont aucunement brid\u00e9es : il s’agit de code qui tourne avec les privil\u00e8ges syst\u00e8me de l’utilisateur qui a lanc\u00e9 firefox, ni plus ni moins : une extension peut donc modifier \u00e0 la vol\u00e9e les pages web avant affichage, envoyer des donn\u00e9es confidentielles sur un canal cach\u00e9, par exemple.<\/p>\n

Le tableau n’est donc pas brillant, et les “protections” positionn\u00e9es par certains sites web sensibles (comme celui de votre banque) ne sont pas de nature \u00e0 [me] rassurer, puisque, bien s\u00fbr, \u00e9minement contournables! <\/p>\n

Les mesures que je m’auto-pr\u00e9conise sont donc d\u00e9sormais :<\/p>\n

– Rester en veille pour voir peut-\u00eatre un jour l’\u00e9mergence d’un navigateur con\u00e7u d\u00e8s le d\u00e9part pour \u00eatre s\u00e9curis\u00e9<\/p>\n

– Dans l’imm\u00e9diat, utiliser des navigateurs alternatifs “sp\u00e9cialis\u00e9s” pour les t\u00e2ches sensibles. On peut citer, parmi d’autres, Konqueror, epiphany. Avec un peu de chance, ces navigateurs sont trop peu utilis\u00e9s pour \u00eatre cibl\u00e9s par les auteurs de malware (en tous cas, de malware de masse…). Bien que je n’aie pas sp\u00e9cialement plus confiance dans leur design (parfois tr\u00e8s proche de firefox d’ailleurs…), j’esp\u00e8re tomber dans une “niche”.<\/p>\n

– Dans le m\u00eame registre, mais de mani\u00e8re un peu plus stricte, s’appuyer sur la s\u00e9curit\u00e9 et le syst\u00e8me de privil\u00e8ges sous-jacent : cr\u00e9er des utilisateurs syst\u00e8mes d\u00e9di\u00e9s \u00e0 mes t\u00e2ches “s\u00e9curis\u00e9e” comme payer mes imp\u00f4ts, me connecter sur le site de ma banque… Peut-\u00eatre un syst\u00e8me \u00e0 trois niveaux pourrait-il se r\u00e9v\u00e9ler int\u00e9ressant : <\/p>\n