Sécurité

La plupart des navigateurs sont impactés par des problèmes de sécurité en ce début de mois de Juillet.

• Après la vulnérabilité dans le composant Video Control qui n’est toujours pas corrigée par Microsoft, c’est au tour du composant Office Web Components Control d’être activement exploité sur Internet pour prendre le contrôle d’Internet Explorer… [Microsoft Security Advisory 973472]
• Mozilla a publié très rapidement une version 3.5.1 de Firefox pour corriger une vulnérabilité critique dans le moteur Javascript pouvant permettre l’execution de code. Depuis, une nouvelle vulnérabilité a été découverte mais Mozilla se défend en indiquant qu’elle n’est pas exploitable, il s’agit juste d’une vulnérabilité DoS…
• Google prend les devants en sortant une version 2.0.172.37 de Google Chrome qui corrige deux vulnérabilités critiques découvertes en interne (et donc pas encore publiques). Sur les deux vulnérabilités, la technologie de sandbox mise en avant par Google ne permet de minimiser l’impact que d’une seule…
• Apple a corrigé deux vulnérabilités critiques dans Safari 4.0.2 : possibilité de cross-site scripting, déni de service et execution de code…

Une nouvelle vulnérabilité dans le composant ActiveX Video Control de Microsoft met à nouveau la pression sur le navigateur. En effet, des milliers de sites web (compromis pour la plupart) sont déjà utilisés pour exploiter cette faille et prendre le contrôle de la machine.

Du côté des correctifs, Microsoft a publié un bulletin de sécurité et une analyse sur son blog sécurité mais pas encore de version corrective. Le seul moyen de contournement étant d’utiliser le fameux Kill-bit pour désactiver l’ActiveX (ou bien sûr de ne pas utiliser IE pour surfer sur Internet…). Microsoft mérite tout de même un carton rouge car le numéro de CVE (CVE-2008-0015) et sa date d’enregistement montre qu’ils avaient connaissance de la vulnérabilité depuis 18 mois.

Du côté de commonIT, notre solution de navigateur virtualisé Virtual Browser permet de protéger, par construction, le poste de l’utilisateur de ce genre d’attaque. En effet, même en utilisant le moteur de rendu d’Internet Explorer, l’exploitation de cette vulnérabilité ne permettra la prise de contrôle, ni du poste de l’utilisateur, ni du réseau de l’entreprise, ni même des applications web de confiance. Tout code malveillant téléchargé sera détruit automatiquement lors de la fermeture de la fenêtre. Stress-free Internet ?

On pourrait croire que les fondations sur lesquelles sont basées la sécurité sur Internet sont avant tout techniques. Il n’en est rien, la sécurité sur Internet est principalement une question de confiance entre différents éléments :

• La confiance qu’a un utilisateur envers son navigateur et sa capacité à lui donner des informations pertinentes et à le protéger ;
• La confiance entre un navigateur et sa liste d’autorités de certification (CA) de confiance ;
• La confiance que l’industrie et les éditeurs portent aux différentes autorités de certifications (CA) sur leur capacité à authentifier les détenteurs de certificats, à vérifier leurs informations et à tout mettre en oeuvre pour techniquement protéger les mécanismes sous-jacents.

Si un seul élément de la chaîne de confiance est défaillant, c’est l’ensemble de la sécurité qui est compromise comme cela a été le cas récemment :

• Eddy Nigg, fondateur de StartCom, a révélé que certstar, un revendeur pour l’authorité de certification Comodo, ne vérifiait aucune information avant de signer les certificats SSL et utilisait des techniques douteuses afin de récupérer de nouveaux clients. Eddy a pu facilement obtenir un certificat pour mozilla.com alors qu’il est nullement lié à l’organisation. Comodo a immédiatement réagi après la divulgation en révoquant le certificat et en créant une enquête interne sur certstar. De son côté, Mozilla veut avoir plus d’assurance de la part de Comodo sous peine de supprimer la CA de la liste des autorités de confiance.
• Un groupe de chercheurs a présenté à la 25ème conférence CCC (Chaos Communication Congress) leurs travaux sur la possibilité de créer un certificat de CA reconnu de confiance par les différents navigateurs et permettant donc de générer des certificats pour n’importe quel site web sécurisé. Pour cela, ils exploitent les faiblesses connues de l’algorithme MD5 encore utilisé (à tort) par certaines autorités de confiance. Avec un bon timing et l’aide d’un cluster de 200 PS3, ils ont réussi a générer un certificat de CA ayant la même empreinte qu’un certificat qu’ils ont fait créer par RapidSSL. Avec un tel certificat en poche, il est possible de créer des attaques de type Man in the middle contre toutes les connexions SSL. Verisign a immédiatement arrêté la signature des certificats en MD5 pour empêcher une éventuelle reproduction.

Difficile ensuite pour l’utilisateur d’être sur à 100% qu’il navigue bien sur un site de confiance malgré tous les indicateurs offerts par son navigateur. Un navigateur à jour et un contrôle systématique des certificats (via OCSP) reste la meilleure méthode pour surfer sereinement. Dans tous les cas, il faut réfléchir à deux fois avant de contourner les messages d’avertissement car les attaques MITM basiques existent bel et bien.

Il y a quelques mois, Window Snyder (responsable sécurité pour Mozilla Corporation) déclarait dans une interview pour Computerworld qu’il était impossible de construire un navigateur sans aucune faille de sécurité. Il suffit de parcourir le Browser Security Handbook publié il y a quelques jours par Google pour s’apercevoir que la tâche n’est effectivement pas simple. Si on rajoute à cela la nécessité de supporter de plus en plus de format de fichiers, les sources de vulnérabilités potentielles sont nombreuses.

« It’s impossible to build a perfectly secure browser » — Window Snyder

Microsoft est d’ailleurs en train de s’en rendre compte avec une vulnérabilité critique dans IE (dont websense a fait une excellente analyse) qui commence à être activement exploitée afin d’infecter les machines Windows. Habilement sortie en même temps que le patch Tuesday de Décembre, la vulnérabilité risque de faire beaucoup de dégâts avant même que Microsoft ne déploie un correctif, d’autant que les solutions de contournement ne sont pas simples à mettre en œuvre. Pour faire face à cela, Microsoft devrait sortir un correctif en dehors de son cycle habituel dans la journée.

Tout cela met en évidence le fait qu’il est nécessaire de pouvoir restreindre au maximum les conséquences d’une exploitation qui finira fatalement par arriver. Une des solutions est d’isoler le navigateur dans un environnement virtualisé afin d’éviter la prise de controle du poste par un virus.

Le mois de Novembre 2008 aura vu son lot de vulnérabilités critiques corrigées dans la plupart des navigateurs du marché. Parmi les plus impactés, on retrouve Safari et Firefox :

• La version 3.2 de Safari totalise pas moins de 11 vulnérabilités pouvant mener à de l’exécution de code, du déni de service ou de la divulgation d’information. Un filtre anti-phishing et le support des certificats EV a également été ajouté en réponse aux critiques de PayPal.
• Firefox 3.0.4, pour sa part, corrige 9 vulnérabilités dont 4 jugées critiques : dénis de service, exécution de code, élévation de privilèges et vol d’information sont au rendez-vous. Pour les utilisateurs de Firefox 2, la version 2.0.0.18 reprend ces correctifs.

Les produits des autres éditeurs sont moins impactés mais on retrouve des versions correctives de la part de :

• Microsoft publie un correctif de sécurité critique (MS08-069) qui corrige des vulnérabilités dans Microsoft XML Core Services : exécution de code à distance et divulgation d’information. A noter que la mise à jour permet désormais de protéger les cookies HttpOnly d’une lecture par un objet XMLHTTPRequest, une protection de plus contre les attaques XSS.
• Google Chrome corrige une vulnérabilité pouvant permettre l’envoi de fichiers à l’extérieur. A noter que la correction est pour l’instant uniquement disponible sur la version pour les developpeurs.
• Opera sort la version 9.62 qui corrige une exécution à distance de code.

Après tout cela, si vous souhaitez en savoir plus sur la virtualisation du navigateur et le cloisonnement des sessions : www.commonit.com.

Il y a quelques mois, Checkpoint/ZoneAlarm a lancé ForceField, une solution de sécurité du navigateur virtualisée. Quand on examine le descriptif produit, on lit:

“ZoneAlarm Forcefield fournit une couche de protection autour de votre navigateur, vous protégeant ainsi des téléchargements invisibles de type “drive-by downloads”, des exploitations du navigateur, des tentatives de phishing, des logiciels espions et des enregistreurs de touches. Ainsi vos mots de passe, vos informations confidentielles et vos données financières restent protégés.“

Et d’affirmer présomptueusement que “Rien n’égale la protection que vous apporte ZoneAlarm ForceField“….

Cela paraît très prometteur et semble une très bonne réponse aux problémes de sécurité du navigateur. Mais la réalité semble tout autre… pour preuve citons cet excellent article paru dans InfoWorld et qui montre qu’il a fallu moins de 60 secondes à Robert Grimes pour contourner la protection de ForceField. Et cela n’est pas très étonnant ; en effet, c’était déjà le cas avec le produit GreenBorder (depuis racheté par Google) lors d’un test mené il y a quelques années. Ce n’est pas très étonnant parce que ce n’est pas l’implémentation de la technologie de “sandbox” qui est en cause mais plutôt l’approche même de sandbox. D’ailleurs, les experts de Checkpoint/ZoneAlarm le reconnaissent eux-mêmes : pour atteindre un niveau de sécurité satisfaisant, il est nécessaire que le système sous-jacent soit à jour et sécurisé !!! Où est donc la virtualisation là dedans ? L’intérêt de rajouter une couche de sécurité supplémentaire sur le poste de travail s’en trouve ainsi bien limité…
Alors, quelle solution ? Un VRAI navigateur virtuel qui s’exécute VRAIMENT dans un environnement d’exécution distinct et qui n’a absolument pas besoin d’un poste à jour et sécurisé pour permettre à l’utilisateur de surfer en toute tranquillité.

Je ne suis pas un grand fan des analogies quand on parle d’informatique. Moi qui suis un homme de marketing, j’admets qu’elles ont des vertus pédagogiques et permettent de faire passer des idées qui en matière de nouvelles technologies sont assez difficiles à comprendre. Mais en même temps je leur reproche une tendance à la vulgarisation qui, en tirant les concepts par les cheveux, finit parfois par en retirer la force… Mais puisque commonIT est née d’une innovation technologique que nous destinons au plus grand nombre, une fois n’est pas coutume, je me risque à une analogie :

A Lyon, pas loin de notre siège, a ouvert un centre unique au monde, appelé IWAY dans lequel on peut piloter des formules 1 dans un simulateur si performant que même les pilotes professionnels sont bluffés. Le parallèle avec commonIT et notre produit Virtual Browser est intéressant. Imaginez que vous conduisez une formule 1 dans un simulateur si réaliste que tout se passe comme sur un vrai circuit : vous allez aussi vite, vous avez les mêmes sensations, vous bénéficiez des mêmes technologies, de la même sécurité… Mais si vous avez un accident, vous ne risquez rien, vous redémarrez la course et la partie recommence. Remplacez le circuit par Internet, la formule 1 par un navigateur, l’accident par une attaque informatique et vous comprenez le concept de Virtual Browser : garantir que vos données et vos applications ne risquent rien, même en cas d’attaque.

Parmi les nombreuses discussions qui ont contribuées à la genèse de commonIT, il en est une que Daniel et moi avons eue il y a quelques temps en regardant de près le développement du Web 2.0 qui apportait à peu près autant de nouvelles fonctions que de problèmes de sécurité. Les échanges P2P, les messageries instantanées, les réseaux sociaux, etc… Tout conduisait au même constat : le poste de travail et ses données sont connectés à des applications complexes que les produits existants sont incapables de contrôler correctement. Aucune solution de sécurité n’est fiable à 100%. Tous les éditeurs vous le diront, une solution de sécurité a une obligation de moyen, pas de résultat. Et c’est bien là le problème. Avec le développement exponentiel des nouvelles technologies d’Internet, les moyens à mettre en oeuvre deviennent disproportionnés au regard des résultats. Au cours de cette discussion nous avons cherché à prendre le problème à l’envers de ce que veulent les conventions de notre domaine : Plutôt que de penser à un énième logiciel (anti-virus, anti-spyware, anti-spam, anti-phishing, anti-ce-que-vous-voulez qui serait venu surcharger des produits de sécurité et des postes de travail déjà étouffés par des fonctions plus ou moins efficaces) nous avons remis en cause l’architecture des logiciels de sécurité eux-mêmes. Nous avons imaginé qu’il soit possible d’inventer un produit dont l’architecture garantirait à 100% la sécurité des postes connectés aux applications web.

Un peu plus tard (et environ 10 ans après qu’il ait conçu une architecture qu’IDC appelera UTM - Unified Threat Management), Daniel inventait Virtual Browser, une solution sécurisée nativement, par son architecture. Virtual Browser est un navigateur web qui ne s’exécute pas sur le poste de travail, mais sur un serveur isolé, seuls l’affichage et le son arrivent sur le poste. Le code est éxécuté dans un environnement isolé. Par construction, l’architecture de Virtual Browser garantit que si, malgré le haut niveau de sécurité de la solution, une attaque n’est pas bloquée, les applications, les données et l’ensemble du réseau ne risquent rien. Virtual Browser est la première solution “secure by design”.

Lorsque vous naviguez sur Internet, votre navigateur va automatiquement ou sur votre demande aller récupérer des pages web, photos ou vidéos aux quatre coins du monde. C’est ce qui a fait la force d’Internet et que les sites Web 2.0 utilisent à outrance pour offrir la meilleur expérience utilisateur possible.

A côté de cela, on peut légitimement se demander si le navigateur n’est pas un peu trop crédule dans cette course au liens. Si un site Chinois référence des images présentes sur votre Intranet ou charge une partie du site de votre banque dans sa page, cela ne génera nullement votre navigateur. Et vous ?

Dans le jeu du chat et de la souris qui oppose les pirates et chercheurs en sécurité aux développeurs et mécanismes de protection, l’avantage est actuellement dans le camp du chat. Alors que le Web n’a jamais été aussi développé et utilisé à des fins commerciales, de nombreux problèmes de sécurité noircissent toujours le tableau :

• XSS (Cross-Site Scripting) : Une vulnérabilité dans un site web permettant de faire executer du code externe en contournant la protection de ‘same origin policy‘. Peut servir à voler les cookies de session d’un utilisateur.
• CSRF (Cross-Site Request Forgery) : Un manque de contrôle dans un site web pouvant être utilisé pour faire executer des actions (envoi d’email, modification de mot de passe, …) par un utilisateur à son insus. Il y a quelques semaines, une étude a révélé que certains sites majeurs comportaient ce genre de vulnérabilités. Le site de la banque INGDirect pouvait en particulier être utilisé pour réaliser des transferts d’argent…
• Clickjacking : Technique (récente) permettant de faire charger un site authentifié en arrière plan et de faire cliquer l’utilisateur afin de lui faire exécuter des actions sous son nom et à son insus. Une démo est présente ici.
• Intranet scanning : Utilisation de Javascript (ou non) afin de scanner, d’identifier (et éventuellement d’intéragir avec) un ensemble de machines situés sur le réseau interne.
• DNS rebinding : Exploitation du protocole DNS permettant de contourner la protection de ‘same origin policy‘ des navigateurs afin de faire executer du code ayant accès à un site légitime.

Bien entendu, il est souvent recommandé de se connecter à un site contenant des informations sensibles (type banque) que depuis un navigateur sans aucun autre site ouvert (et de préférence venant d’être démarré). Mais qui relance son navigateur avant de se connecter à sa banque ? Qui ne navigue jamais sur Internet avec un onglet sur son Intranet ou son webmail ?

C’est dans ce contexte que je me suis longtemps interessé à la possibilité de cloisonner les sessions de navigation par niveau de confiance : Il est normal que mon Intranet référence un lien vers Internet, mais il n’est pas normal qu’un site quelconque référence un lien vers mon Intranet. Dans une vie (plus ou moins) antérieure, j’ai étudié avec succès ce type de filtrage au niveau périmétrique mais HTTPS et Javascript permettent de le contourner. La seule possibilité pour le faire de manière efficace est de le faire directement dans le navigateur.

En co-fondant commonIT, j’ai immédiatement milité pour placer le cloisonnement de sessions au coeur du produit VirtualBrowser. Avec la virtualisation du navigateur, le cloisonnement de sessions et la mobilité, Virtual Browser offre une solution efficace et innovante de navigation sécurisée.