Sécurité

Depuis quelques années, le navigateur reste le point faible des entreprises en terme de sécurité avec un nombre de vulnérabilités exploitées en augmentation et des sorties régulières de correctifs de sécurité.

S’il n’y avait que le navigateur à mettre à jour, cela pourrait encore se gérer facilement. Mais il est souvent nécessaire de surveiller également les différents composants intéragissant avec celui-ci et permettant d’accéder à des contenus complexes (PDF, vidéos, webex, applications, …). Et ces derniers ne sont pas exempts de vulnérabilités, loin de là. Adobe et Oracle sortent régulièrement des correctifs pour leurs produits phares que sont Adobe Acrobat Reader, Adobe Flash Player et Java. Microsoft annonçait d’ailleurs récemment que son produit de protection contre les malwares (MMPC) avait bloqué 6,5 millions d’attaques Java en seulement six mois. Et là où le bas blesse, c’est que la mise à jour peut bloquer un certain nombre d’applications métier de manière irréversible. On retrouve donc de plus en plus d’entreprises bloquées dans une version bien particulière de Java ou de Service Pack d’IE en raison d’une application critique et malgré le risque important que cela fait peser sur le poste en matière de sécurité.

Cela fait le bonheur des éditeurs qui n’en finissent pas d’inventer de nouvelles couches de sécurité (anti-virus, anti-spyware, anti-malware, …) qui ne font que ralentir le poste ou le réseau et se révélent souvent inefficaces face au premier 0-day venu.

Pour résoudre tous ces problèmes, il faudrait que chaque utilisateur ait à disposition un ordinateur parfaitement configuré et correctement isolé pour chaque application ou chaque besoin. Ou alors, il suffirait d’utiliser Virtual Browser…

Si le navigateur web est de plus en plus utilisé en entreprise c’est qu’il présente des avantages. D’abord il est gratuit (argument à manier avec prudence car si on s’intéresse aux coûts cachés, le navigateur est nettement moins gratuit) et surtout tout le monde sait s’en servir. Reste que, lorsqu’une entreprise utilise le navigateur comme logiciel professionnel elle se heurte à des contraintes de sécurité et de compatibilité qu’on ne retrouve pas dans une utilisation grand public. C’est pour cela que Virtual Browser a du sens. Selon les applications, la solution permet de publier la bon navigateur avec un niveau de sécurité sans précédent.

Cependant, l’usage d’une solution comme Virtual Browser pourrait se confronter à des réticences de la part des utilisateurs s’ils ont l’impression que la solution les oblige à de gros changements de leur expérience de navigation. C’est pour cette raison qu’à partir de la version 2.0, l’utilisation de Virtual Browser peut être rendue transparente. Il est désormais possible de voir VB comme une extension du navigateur local. Prenons 2 exemples.

Premier exemple : Imaginez que vous soyez sur un poste Windows 7 en train de naviguer sur l’intranet de votre entreprise avec le navigateur local, Internet Explorer 8 (IE8). Soudain, vous cliquez sur une application qui n’est pas compatible avec IE8 et qui nécessite IE6. Sans Virtual Browser, vous ne pourriez tout simplement pas accéder à l’application. Avec la version 2.0 de VB, au moment où vous cliquez, une nouvelle fenêtre s’ouvre automatiquement et vous permet d’accéder à l’application IE6 avec une compatibilité totale. La fenêtre en question étant en réalité Virtual Browser dans lequel on exécute le navigateur IE6 que l’on fait pointer sur l’application en question.

Second exemple : Imaginez maintenant que vous surfez sur Internet au travers d’un proxy web. Conformément à la politique de sécurité de votre entreprise ce dernier bloque une URL pouvant contenir des codes malicieux. Mais, avec Virtual Browser, imaginez que la page d’alerte que vous renvoie le proxy contient le message suivant : “Le site que vous tentez de consulter est interdit par notre politique de sécurité. Si vous souhaitez y accéder malgré tout cliquez ici.”. Et si vous cliquez sur le lien, une nouvelle fenêtre s’ouvre, vous permettant d’accéder au site en question… Cela se passe dans Virtual Browser, la session qui accède au site à risque est totalement isolée si bien que si elle est attaquée votre poste et le réseau de l’entreprise ne risquent rien.

Et hop, encore une faille annoncée dans IE hier soir. Cette fois, elle permet l’accès à tous les fichiers présents sur le disque dur du PC, et toutes les versions d’IE sont concernées… mais la configuration par défaut dans les versions récentes de Windows (Vista, Server 2008, 7) empêche l’exploitation de cette faille. C’est donc principalement sous Windows XP que le risque existe. Cette version de Windows reste tout de même l’OS le plus répandu (à l’heure où j’écris ces lignes, plus de 66% de parts de marché d’après NetMarketshare).

La réaction de Bernard Ourghanlian (Directeur de la sécurité de Microsoft), rapportée par Clubic, est très intéressante ; il dit notamment (je cite) : “Nous aimerions bien nous débarasser d’Internet Explorer 6.0, mais on ne peut tout simplement pas. En entreprise, déployer un nouveau navigateur est un énorme travail. Tant que Windows XP sera supporté par Microsoft (jusqu’en 2014), Internet Explorer 6.0 le sera également“.

Au delà de cette nouvelle faille qui prouve l’intérêt sécuritaire de l’approche de cloisonnement que nous avons développée pour Virtual Browser, les propos de Bernard Ourghanlian illustrent également la problématique liée à la gestion du/des navigateur(s) en entreprise : le déploiement et les mises à jour de ce client représente une charge importante, et donc un coût non moins important pour les entreprises. Là aussi, Virtual Browser facilite le travail de l’administrateur grâce à son architecture centralisée et aux fonctions de mises à jour des différents composants du navigateur (moteur de rendu, plugins, …).

Bref, les mois se suivent et se ressemblent… Et tout porte à penser que les entreprises ont besoin de revoir l’architecture d’exécution, de déploiement et de mise-à-jour de leur navigateur. C’est le sens de nos efforts et la finalité de Virtual Browser.

Une nouvelle alerte de sécurité annoncée par Microsoft dans son navigateur web Internet Explorer a provoqué une communication officielle de plusieurs gouvernements encourageant à trouver des alternatives pour surfer sur Internet et sur les applications web.

Vendredi 15 janvier 2010, le BSI allemand et le CERTA français (Centre d’Expertise de Réponse et de Traitement des Attaques informatiques) ont émis des bulletins demandant d’éviter l’utilisation d’Internet Explorer, en raison d’une faille de sécurité publiée la veille par Microsoft.

La démarche est inédite car jamais des organismes gouvernementaux n’ont demandé publiquement de ne plus utiliser un logiciel défaillant. Mais cette fois-ci, la vulnérabilité annoncée affecte toutes les versions du logiciel depuis sa version 6. Sachant que le logiciel est utilisé par les deux tiers des internautes, le nombre d’ordinateurs pouvant être compromis par une attaque est colossale. Le risque est donc de voir une vague massive d’attaques s’appuyant sur la vulnérabilité pour mettre à mal un très grand nombre d’entreprises, voire des organisations gouvernementales. 

Selon le CERTA français, L’utilisation de cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur la machine de l’utilisateur et donc de voler des données ou de compromettre le système. Il semble d’ailleurs que plusieurs entreprises, dont Google, auraient déjà été victimes de cette attaque.

Cette fois c’est Internet Explorer qui est mis en cause. Mais en réalité, c’est l’architecture des navigateurs eux-mêmes qu’on devrait contester et c’est ce que nous faisons avec la solution Virtual Browser. C’est la raison pour laquelle la seule façon réellement efficace de se protéger contre ces risques est d’isoler le navigateur dans des machines virtuelles cloisonnées et déportées sur des serveurs. Grâce au mécanisme de cloisonnement de Virtual Browser, les utilisateurs peuvent continuer à utiliser Internet Explorer sans craindre les conséquences dues à l’exploitation de ses vulnérabilités. 

Les chercheurs de McAfee Labs, la division recherche de McAfee, viennent de publier leur rapport annuel “2010 Threat Predictions”. Sans surprise on y apprend que le navigateur reste le vecteur d’attaque privilégié, plus particulièrement à travers les sites de réseaux sociaux. Ainsi, par exemple, l’utilisation de plus en plus fréquent de raccourcis d’URL (bit.ly, tinyurl.com) pour gagner de la place dans les “tweets” de Twitter permet très (trop) facilement de faire cliquer l’utilisateur, même avertit, sur un lien détourné lançant des attaques sur la machine de l’utilisateur, sur ses autres sessions web (cross-site) et sur le réseau local sur lequel le poste est situé (celui de l’entreprise s’il sur au bureau…). McAfee avertit également sur les risques des extensions du navigateur tels Flash ou Acrobat d’Adobe ainsi que l’arrivée de HTML 5.0, qui font “fondre la ligne entre les applications web et les applications du poste de travail”. La nécessité d’une politique de sécurité d’accès web concrétisée par un cloisonnement des usages et la gestion précise des droits de chacun sera plus que jamais d’actualité en 2010.

Accédez au rapport de McAfee ici.

En début de semaine, une nouvelle vulnérabilité dans IE6 et IE7 a été rendue publique sur Internet avant que Microsoft n’en ai eu connaissance. Ce dernier a réagi avec un bulletin de sécurité mais n’a pas encore donné de date pour un correctif. Comme d’habitude (souvenez-vous de ça, ou de ça), les moyens de protection sont relativement contraignants et les risques assez elevés (accés au poste avec les droits de l’utilisateur). Cela risque de poser problème si une attaque d’envergure est mise en place à court terme car ce sont des navigateurs utilisés en forte proportion en entreprise.

Il n’est jamais trop tard pour rappeler qu’une attaque web peut tromper même le plus averti des utilisateurs. C’est ce qui vient d’ailleurs d’arriver à Gadri Evron (expert reconnu en sécurité) qui a participé à son insu à propager un ver sur Facebook. Même si celui-ci a été rapidement stoppé par Facebook, il est intéressant de noter que le ver utilisait la technique du Clickjacking (et non une vulnérabilité CSRF comme indiqué initialement sur certains blogs) pour se propager.

Cet été aura été l’occasion de mettre en avant un bon nombre de failles de sécurité dans les navigateurs et leurs différents plugin… Vous pouvez d’ailleurs voir ce qu’en dit Mathieu ici, là et ici.

Le 24 août, le site “The Register” parlait de 57 000 pages web contaminées sur le Net ! La dernière mise à jour parle de 70 000 ! Et on ne parle pas ici de quelques sites louches peu fréquentés, car dans la liste figurent des sites aussi sérieux que ceux d’un hôpital de New York. Bref, pas une semaine ne passe sans qu’on ne découvre de nouvelles menaces sur Internet. La situation est telle qu’on peut se demander comment l’accès au web va évoluer…

Lorsque les disquettes (vous vous souvenez ?) étaient l’une des principales sources de contamination, certaines entreprises supprimaient les lecteurs de leurs postes de travail. Pour des raisons de sécurité, on peut sérieusement se poser la question de ce que va devenir Internet dans les entreprises. Est-ce que la toile mondiale est devenue si dangereuse que les postes d’entreprise ne doivent plus y accéder ? Evidemment pas, car le web est avant tout un formidable outil de communication, de productivité et de compétitivité… Les postes d’entreprise doivent donc accéder à Internet… Et de plus en plus… Oui… Mais doivent-ils pour autant être connectés à Internet ?

La manière dont un ordinateur d’entreprise, sur un réseau sensible, accède au web ne peut plus être la même que celle de nos ordinateurs personnels (vous savez ceux qui sont infectés). Avec Virtual Browser, “accéder à Internet” ne veut pas dire “être connecté à Internet”. Les postes ne sont plus connectés à Internet, mais ils accèdent à une image d’un navigateur, centralisé sur un serveur qui lui est connecté à Internet. Comme si, il y a bien longtemps, on avait pu manipuler le contenu de nos disquettes, sans les insérer dans notre ordinateur et sans craindre une infection.

La quatrième vulnérabilité 0-day (après celle-là et celles-ci) en seulement deux semaines vient de tomber et elle touche un des plugins les plus installés sur les navigateurs : le lecteur Flash d’Adobe qui est utilisé pour rendre les sites Web visuellement plus attractifs, pour voir les vidéos sur YouTube, pour jouer en ligne, …

A quoi faisons nous face :

• Une vulnérabilité critique dans le lecteur Flash (au moins versions 9 et 10) pouvant être exploitée depuis tous les navigateurs et tous les systèmes d’exploitation en navigant sur un site web compromis (drive-by attack) ou par la lecture d’un fichier PDF malicieux avec Adobe Acrobat Reader ;
• Les deux méthodes d’exploitation ont déjà été observées sur Internet ;
• Aucune méthode de protection mis à part la desinstallation du lecteur ou de certains de ces composants ;
• La désactivation de Javascript ne protège pas totalement contre une exploitation ;
• Adobe ne fournira par des versions correctives avant le 30 Juillet.

Que faites vous ?