navigateur

Si le navigateur web est de plus en plus utilisé en entreprise c’est qu’il présente des avantages. D’abord il est gratuit (argument à manier avec prudence car si on s’intéresse aux coûts cachés, le navigateur est nettement moins gratuit) et surtout tout le monde sait s’en servir. Reste que, lorsqu’une entreprise utilise le navigateur comme logiciel professionnel elle se heurte à des contraintes de sécurité et de compatibilité qu’on ne retrouve pas dans une utilisation grand public. C’est pour cela que Virtual Browser a du sens. Selon les applications, la solution permet de publier la bon navigateur avec un niveau de sécurité sans précédent.

Cependant, l’usage d’une solution comme Virtual Browser pourrait se confronter à des réticences de la part des utilisateurs s’ils ont l’impression que la solution les oblige à de gros changements de leur expérience de navigation. C’est pour cette raison qu’à partir de la version 2.0, l’utilisation de Virtual Browser peut être rendue transparente. Il est désormais possible de voir VB comme une extension du navigateur local. Prenons 2 exemples.

Premier exemple : Imaginez que vous soyez sur un poste Windows 7 en train de naviguer sur l’intranet de votre entreprise avec le navigateur local, Internet Explorer 8 (IE8). Soudain, vous cliquez sur une application qui n’est pas compatible avec IE8 et qui nécessite IE6. Sans Virtual Browser, vous ne pourriez tout simplement pas accéder à l’application. Avec la version 2.0 de VB, au moment où vous cliquez, une nouvelle fenêtre s’ouvre automatiquement et vous permet d’accéder à l’application IE6 avec une compatibilité totale. La fenêtre en question étant en réalité Virtual Browser dans lequel on exécute le navigateur IE6 que l’on fait pointer sur l’application en question.

Second exemple : Imaginez maintenant que vous surfez sur Internet au travers d’un proxy web. Conformément à la politique de sécurité de votre entreprise ce dernier bloque une URL pouvant contenir des codes malicieux. Mais, avec Virtual Browser, imaginez que la page d’alerte que vous renvoie le proxy contient le message suivant : “Le site que vous tentez de consulter est interdit par notre politique de sécurité. Si vous souhaitez y accéder malgré tout cliquez ici.”. Et si vous cliquez sur le lien, une nouvelle fenêtre s’ouvre, vous permettant d’accéder au site en question… Cela se passe dans Virtual Browser, la session qui accède au site à risque est totalement isolée si bien que si elle est attaquée votre poste et le réseau de l’entreprise ne risquent rien.

Une nouvelle alerte de sécurité annoncée par Microsoft dans son navigateur web Internet Explorer a provoqué une communication officielle de plusieurs gouvernements encourageant à trouver des alternatives pour surfer sur Internet et sur les applications web.

Vendredi 15 janvier 2010, le BSI allemand et le CERTA français (Centre d’Expertise de Réponse et de Traitement des Attaques informatiques) ont émis des bulletins demandant d’éviter l’utilisation d’Internet Explorer, en raison d’une faille de sécurité publiée la veille par Microsoft.

La démarche est inédite car jamais des organismes gouvernementaux n’ont demandé publiquement de ne plus utiliser un logiciel défaillant. Mais cette fois-ci, la vulnérabilité annoncée affecte toutes les versions du logiciel depuis sa version 6. Sachant que le logiciel est utilisé par les deux tiers des internautes, le nombre d’ordinateurs pouvant être compromis par une attaque est colossale. Le risque est donc de voir une vague massive d’attaques s’appuyant sur la vulnérabilité pour mettre à mal un très grand nombre d’entreprises, voire des organisations gouvernementales. 

Selon le CERTA français, L’utilisation de cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur la machine de l’utilisateur et donc de voler des données ou de compromettre le système. Il semble d’ailleurs que plusieurs entreprises, dont Google, auraient déjà été victimes de cette attaque.

Cette fois c’est Internet Explorer qui est mis en cause. Mais en réalité, c’est l’architecture des navigateurs eux-mêmes qu’on devrait contester et c’est ce que nous faisons avec la solution Virtual Browser. C’est la raison pour laquelle la seule façon réellement efficace de se protéger contre ces risques est d’isoler le navigateur dans des machines virtuelles cloisonnées et déportées sur des serveurs. Grâce au mécanisme de cloisonnement de Virtual Browser, les utilisateurs peuvent continuer à utiliser Internet Explorer sans craindre les conséquences dues à l’exploitation de ses vulnérabilités. 

La plupart des navigateurs sont impactés par des problèmes de sécurité en ce début de mois de Juillet.

• Après la vulnérabilité dans le composant Video Control qui n’est toujours pas corrigée par Microsoft, c’est au tour du composant Office Web Components Control d’être activement exploité sur Internet pour prendre le contrôle d’Internet Explorer… [Microsoft Security Advisory 973472]
• Mozilla a publié très rapidement une version 3.5.1 de Firefox pour corriger une vulnérabilité critique dans le moteur Javascript pouvant permettre l’execution de code. Depuis, une nouvelle vulnérabilité a été découverte mais Mozilla se défend en indiquant qu’elle n’est pas exploitable, il s’agit juste d’une vulnérabilité DoS…
• Google prend les devants en sortant une version 2.0.172.37 de Google Chrome qui corrige deux vulnérabilités critiques découvertes en interne (et donc pas encore publiques). Sur les deux vulnérabilités, la technologie de sandbox mise en avant par Google ne permet de minimiser l’impact que d’une seule…
• Apple a corrigé deux vulnérabilités critiques dans Safari 4.0.2 : possibilité de cross-site scripting, déni de service et execution de code…

Il y a quelques mois, Window Snyder (responsable sécurité pour Mozilla Corporation) déclarait dans une interview pour Computerworld qu’il était impossible de construire un navigateur sans aucune faille de sécurité. Il suffit de parcourir le Browser Security Handbook publié il y a quelques jours par Google pour s’apercevoir que la tâche n’est effectivement pas simple. Si on rajoute à cela la nécessité de supporter de plus en plus de format de fichiers, les sources de vulnérabilités potentielles sont nombreuses.

« It’s impossible to build a perfectly secure browser » — Window Snyder

Microsoft est d’ailleurs en train de s’en rendre compte avec une vulnérabilité critique dans IE (dont websense a fait une excellente analyse) qui commence à être activement exploitée afin d’infecter les machines Windows. Habilement sortie en même temps que le patch Tuesday de Décembre, la vulnérabilité risque de faire beaucoup de dégâts avant même que Microsoft ne déploie un correctif, d’autant que les solutions de contournement ne sont pas simples à mettre en œuvre. Pour faire face à cela, Microsoft devrait sortir un correctif en dehors de son cycle habituel dans la journée.

Tout cela met en évidence le fait qu’il est nécessaire de pouvoir restreindre au maximum les conséquences d’une exploitation qui finira fatalement par arriver. Une des solutions est d’isoler le navigateur dans un environnement virtualisé afin d’éviter la prise de controle du poste par un virus.

Le mois de Novembre 2008 aura vu son lot de vulnérabilités critiques corrigées dans la plupart des navigateurs du marché. Parmi les plus impactés, on retrouve Safari et Firefox :

• La version 3.2 de Safari totalise pas moins de 11 vulnérabilités pouvant mener à de l’exécution de code, du déni de service ou de la divulgation d’information. Un filtre anti-phishing et le support des certificats EV a également été ajouté en réponse aux critiques de PayPal.
• Firefox 3.0.4, pour sa part, corrige 9 vulnérabilités dont 4 jugées critiques : dénis de service, exécution de code, élévation de privilèges et vol d’information sont au rendez-vous. Pour les utilisateurs de Firefox 2, la version 2.0.0.18 reprend ces correctifs.

Les produits des autres éditeurs sont moins impactés mais on retrouve des versions correctives de la part de :

• Microsoft publie un correctif de sécurité critique (MS08-069) qui corrige des vulnérabilités dans Microsoft XML Core Services : exécution de code à distance et divulgation d’information. A noter que la mise à jour permet désormais de protéger les cookies HttpOnly d’une lecture par un objet XMLHTTPRequest, une protection de plus contre les attaques XSS.
• Google Chrome corrige une vulnérabilité pouvant permettre l’envoi de fichiers à l’extérieur. A noter que la correction est pour l’instant uniquement disponible sur la version pour les developpeurs.
• Opera sort la version 9.62 qui corrige une exécution à distance de code.

Après tout cela, si vous souhaitez en savoir plus sur la virtualisation du navigateur et le cloisonnement des sessions : www.commonit.com.