sécurité web

Depuis quelques années, le navigateur reste le point faible des entreprises en terme de sécurité avec un nombre de vulnérabilités exploitées en augmentation et des sorties régulières de correctifs de sécurité.

S’il n’y avait que le navigateur à mettre à jour, cela pourrait encore se gérer facilement. Mais il est souvent nécessaire de surveiller également les différents composants intéragissant avec celui-ci et permettant d’accéder à des contenus complexes (PDF, vidéos, webex, applications, …). Et ces derniers ne sont pas exempts de vulnérabilités, loin de là. Adobe et Oracle sortent régulièrement des correctifs pour leurs produits phares que sont Adobe Acrobat Reader, Adobe Flash Player et Java. Microsoft annonçait d’ailleurs récemment que son produit de protection contre les malwares (MMPC) avait bloqué 6,5 millions d’attaques Java en seulement six mois. Et là où le bas blesse, c’est que la mise à jour peut bloquer un certain nombre d’applications métier de manière irréversible. On retrouve donc de plus en plus d’entreprises bloquées dans une version bien particulière de Java ou de Service Pack d’IE en raison d’une application critique et malgré le risque important que cela fait peser sur le poste en matière de sécurité.

Cela fait le bonheur des éditeurs qui n’en finissent pas d’inventer de nouvelles couches de sécurité (anti-virus, anti-spyware, anti-malware, …) qui ne font que ralentir le poste ou le réseau et se révélent souvent inefficaces face au premier 0-day venu.

Pour résoudre tous ces problèmes, il faudrait que chaque utilisateur ait à disposition un ordinateur parfaitement configuré et correctement isolé pour chaque application ou chaque besoin. Ou alors, il suffirait d’utiliser Virtual Browser…

Le navigateur est au cœur de la stratégie Cloud des entreprises. Le développement des technologies web dans les environnements professionnels a fait de ce logiciel inventé pour le grand public, le client universel d’accès aux applications cloud des entreprises.

Il est vrai que le navigateur web est gratuit et que tout le monde sait s’en servir, ce qui fait 2 excellents arguments pour l’utiliser, surtout quand les budgets informatiques sont en baisse. Mais utiliser un navigateur en entreprise n’est pas anodin du point de vue de la sécurité :

Une technologie grand public. Les navigateurs répondent à un objectif principal : pouvoir être utiliser simplement par le plus grand nombre. Ce qui implique qu’il doit y avoir le moins de contraintes possibles dans l’expérience utilisateur. C’est pour cette raison que les technologies 2.0 qui permettent une meilleure interactivité vont jusqu’à exécuter du code provenant d’internet dans le navigateur lui-même (Ajax, Flash, Java, ActiveX par exemple)… Mais est-ce le comportement attendu d’un logiciel qui sert aussi à se connecter sur les applications les plus sensibles d’une entreprise (Banque, CRM, Comptabilité) ?

Une architecture non sécurisée. Les professionnels de la sécurité sont de plus en plus conscients que le navigateur est un logiciel non sécurisé. Le problème est triple : (i) d’abord il existe des failles dans les navigateurs comme dans tout logiciel complexe, (ii) ensuite le navigateur est plus exposé que les autres logiciels à la menace parce que c’est lui qui accède à Internet, (iii) enfin le comportement du navigateur est également dangereux à cause de ses nombreux plugins (voir plus haut).

La confidentialité des données en question. Utiliser un navigateur à la maison ou dans un cybercafé pour se connecter à des applications Cloud peut se révéler dangereux pour les données d’une entreprise. En effet, l’utilisation du web permettra à un utilisateur mobile de se connecter à ses services cloud depuis n’importe quel poste équipé d’un browser. Le problème c’est que l’entreprise n’a pas forcément envie que des données sensibles se retrouvent sur « n’importe quel poste ». Or, en utilisant un navigateur, on va laisser des traces sur le poste au travers des cookies, de l’historique ou du cache de ce dernier.

Si les entreprises veulent mettre en place une stratégie Cloud, elles doivent prendre en considération la “problématique navigateur”. Elles doivent penser aux questions qui se posent coté utilisateur afin d’apporter des réponses satisfaisantes du point de vue de l’usage et de la sécurité, dans la mise en place du client d’accès au Cloud.

Pour en savoir plus, vous pouvez télécharger nos livres blancs.

Et hop, encore une faille annoncée dans IE hier soir. Cette fois, elle permet l’accès à tous les fichiers présents sur le disque dur du PC, et toutes les versions d’IE sont concernées… mais la configuration par défaut dans les versions récentes de Windows (Vista, Server 2008, 7) empêche l’exploitation de cette faille. C’est donc principalement sous Windows XP que le risque existe. Cette version de Windows reste tout de même l’OS le plus répandu (à l’heure où j’écris ces lignes, plus de 66% de parts de marché d’après NetMarketshare).

La réaction de Bernard Ourghanlian (Directeur de la sécurité de Microsoft), rapportée par Clubic, est très intéressante ; il dit notamment (je cite) : “Nous aimerions bien nous débarasser d’Internet Explorer 6.0, mais on ne peut tout simplement pas. En entreprise, déployer un nouveau navigateur est un énorme travail. Tant que Windows XP sera supporté par Microsoft (jusqu’en 2014), Internet Explorer 6.0 le sera également“.

Au delà de cette nouvelle faille qui prouve l’intérêt sécuritaire de l’approche de cloisonnement que nous avons développée pour Virtual Browser, les propos de Bernard Ourghanlian illustrent également la problématique liée à la gestion du/des navigateur(s) en entreprise : le déploiement et les mises à jour de ce client représente une charge importante, et donc un coût non moins important pour les entreprises. Là aussi, Virtual Browser facilite le travail de l’administrateur grâce à son architecture centralisée et aux fonctions de mises à jour des différents composants du navigateur (moteur de rendu, plugins, …).

Bref, les mois se suivent et se ressemblent… Et tout porte à penser que les entreprises ont besoin de revoir l’architecture d’exécution, de déploiement et de mise-à-jour de leur navigateur. C’est le sens de nos efforts et la finalité de Virtual Browser.

Une nouvelle alerte de sécurité annoncée par Microsoft dans son navigateur web Internet Explorer a provoqué une communication officielle de plusieurs gouvernements encourageant à trouver des alternatives pour surfer sur Internet et sur les applications web.

Vendredi 15 janvier 2010, le BSI allemand et le CERTA français (Centre d’Expertise de Réponse et de Traitement des Attaques informatiques) ont émis des bulletins demandant d’éviter l’utilisation d’Internet Explorer, en raison d’une faille de sécurité publiée la veille par Microsoft.

La démarche est inédite car jamais des organismes gouvernementaux n’ont demandé publiquement de ne plus utiliser un logiciel défaillant. Mais cette fois-ci, la vulnérabilité annoncée affecte toutes les versions du logiciel depuis sa version 6. Sachant que le logiciel est utilisé par les deux tiers des internautes, le nombre d’ordinateurs pouvant être compromis par une attaque est colossale. Le risque est donc de voir une vague massive d’attaques s’appuyant sur la vulnérabilité pour mettre à mal un très grand nombre d’entreprises, voire des organisations gouvernementales. 

Selon le CERTA français, L’utilisation de cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur la machine de l’utilisateur et donc de voler des données ou de compromettre le système. Il semble d’ailleurs que plusieurs entreprises, dont Google, auraient déjà été victimes de cette attaque.

Cette fois c’est Internet Explorer qui est mis en cause. Mais en réalité, c’est l’architecture des navigateurs eux-mêmes qu’on devrait contester et c’est ce que nous faisons avec la solution Virtual Browser. C’est la raison pour laquelle la seule façon réellement efficace de se protéger contre ces risques est d’isoler le navigateur dans des machines virtuelles cloisonnées et déportées sur des serveurs. Grâce au mécanisme de cloisonnement de Virtual Browser, les utilisateurs peuvent continuer à utiliser Internet Explorer sans craindre les conséquences dues à l’exploitation de ses vulnérabilités. 

Les chercheurs de McAfee Labs, la division recherche de McAfee, viennent de publier leur rapport annuel “2010 Threat Predictions”. Sans surprise on y apprend que le navigateur reste le vecteur d’attaque privilégié, plus particulièrement à travers les sites de réseaux sociaux. Ainsi, par exemple, l’utilisation de plus en plus fréquent de raccourcis d’URL (bit.ly, tinyurl.com) pour gagner de la place dans les “tweets” de Twitter permet très (trop) facilement de faire cliquer l’utilisateur, même avertit, sur un lien détourné lançant des attaques sur la machine de l’utilisateur, sur ses autres sessions web (cross-site) et sur le réseau local sur lequel le poste est situé (celui de l’entreprise s’il sur au bureau…). McAfee avertit également sur les risques des extensions du navigateur tels Flash ou Acrobat d’Adobe ainsi que l’arrivée de HTML 5.0, qui font “fondre la ligne entre les applications web et les applications du poste de travail”. La nécessité d’une politique de sécurité d’accès web concrétisée par un cloisonnement des usages et la gestion précise des droits de chacun sera plus que jamais d’actualité en 2010.

Accédez au rapport de McAfee ici.

En début de semaine, une nouvelle vulnérabilité dans IE6 et IE7 a été rendue publique sur Internet avant que Microsoft n’en ai eu connaissance. Ce dernier a réagi avec un bulletin de sécurité mais n’a pas encore donné de date pour un correctif. Comme d’habitude (souvenez-vous de ça, ou de ça), les moyens de protection sont relativement contraignants et les risques assez elevés (accés au poste avec les droits de l’utilisateur). Cela risque de poser problème si une attaque d’envergure est mise en place à court terme car ce sont des navigateurs utilisés en forte proportion en entreprise.

Il n’est jamais trop tard pour rappeler qu’une attaque web peut tromper même le plus averti des utilisateurs. C’est ce qui vient d’ailleurs d’arriver à Gadri Evron (expert reconnu en sécurité) qui a participé à son insu à propager un ver sur Facebook. Même si celui-ci a été rapidement stoppé par Facebook, il est intéressant de noter que le ver utilisait la technique du Clickjacking (et non une vulnérabilité CSRF comme indiqué initialement sur certains blogs) pour se propager.

L’idée poussée par tous les grands éditeurs de la planète est de développer les services « in the cloud » ou « dans le nuage »… Comprenez que les applications d’entreprises seront disponibles en ligne, sur Internet. Les analystes de Gartner prévoient, dans leur rapport « Sizing the Cloud » de mars 2009, que le marché mondial du Cloud Computing passera de 46,4 milliards de dollars cette année à plus de 150 milliards en 2013. Dans ce schéma, internet deviendra réellement une extension de réseau d’entreprise. Imaginez ça : l’informatique devient un service, comme on appuie sur un bouton pour avoir la lumière, on clique sur un onglet du navigateur web pour accéder à la CRM hébergée « dans les nuages ».

Je crois sincèrement qu’on peut trouver ça formidable. Avec l’avènement du Cloud Computing l’entreprise pourra se concentrer d’avantage sur son métier et consommer l’informatique comme elle consomme de l’eau potable. Mais si toutes les gouttes d’eau se ressemblent et contiennent finalement peu d’informations sensibles, il n’en est pas de même pour les données informatiques. Les informations manipulées par les entreprises sont pour la plupart critiques et c’est bien là le problème. Internet présentent deux perspectives opposées : d’un coté il hébergera bientôt la plupart des applications d’entreprise et d’un autre coté, il est la source de la grande majorité des cyberattaques. Autrement dit, les données d’entreprise migrent vers le réseau le plus stressant au monde, pour qui est conscient de la valeur de ses informations numériques.

Pour que le développement des applications Cloud soit un succès, il va falloir trouver des solutions pour diminuer le stress lié à l’utilisation d’internet. Comme le dit une certaine publicité du moment, « il y a internet et internet », celui qui nous menace et celui qui nous rend plus agiles, plus performants, celui qui nous fait progresser. Nous sommes condamnés à rendre l’internet « stress-free » sans quoi nous devrons inventer un réseau mondial parallèle pour les applications d’entreprises.

Partant du principe que la meilleure solution pour ne pas être contaminé par internet et encore de ne pas s’y connecter, je pense que la seule façon de ne plus avoir peur d’internet est de cloisonner physiquement les applications menaçantes et les applications sensibles. S’il est certain que créer un nouveau réseau internet est une idée farfelue, ce qui est plus crédible et tout aussi efficace, est d’isoler chaque application web en virtualisant la connexion à la source, au niveau du navigateur. Les utilisateurs d’entreprise accèdent toujours à leurs applications web sensibles par internet mais au travers d’images virtuelles en provenance de liaisons point à point étanches, entre un navigateur (le client) et une application sensible (le serveur). Les données ne sortent jamais réellement sur Internet, elles sont présentées dans des navigateurs virtuels hébergés “au plus près” des services sensibles. Avec cette architecture Internet deviendrait alors “stress-free”, non pas parce qu’on le nettoierait de toutes ses menaces (ne rêvons pas) mais parce que les menaces en question ne pourraient atteindre ni les navigateurs d’entreprise ni les applications web sensibles.

Cet été aura été l’occasion de mettre en avant un bon nombre de failles de sécurité dans les navigateurs et leurs différents plugin… Vous pouvez d’ailleurs voir ce qu’en dit Mathieu ici, là et ici.

Le 24 août, le site “The Register” parlait de 57 000 pages web contaminées sur le Net ! La dernière mise à jour parle de 70 000 ! Et on ne parle pas ici de quelques sites louches peu fréquentés, car dans la liste figurent des sites aussi sérieux que ceux d’un hôpital de New York. Bref, pas une semaine ne passe sans qu’on ne découvre de nouvelles menaces sur Internet. La situation est telle qu’on peut se demander comment l’accès au web va évoluer…

Lorsque les disquettes (vous vous souvenez ?) étaient l’une des principales sources de contamination, certaines entreprises supprimaient les lecteurs de leurs postes de travail. Pour des raisons de sécurité, on peut sérieusement se poser la question de ce que va devenir Internet dans les entreprises. Est-ce que la toile mondiale est devenue si dangereuse que les postes d’entreprise ne doivent plus y accéder ? Evidemment pas, car le web est avant tout un formidable outil de communication, de productivité et de compétitivité… Les postes d’entreprise doivent donc accéder à Internet… Et de plus en plus… Oui… Mais doivent-ils pour autant être connectés à Internet ?

La manière dont un ordinateur d’entreprise, sur un réseau sensible, accède au web ne peut plus être la même que celle de nos ordinateurs personnels (vous savez ceux qui sont infectés). Avec Virtual Browser, “accéder à Internet” ne veut pas dire “être connecté à Internet”. Les postes ne sont plus connectés à Internet, mais ils accèdent à une image d’un navigateur, centralisé sur un serveur qui lui est connecté à Internet. Comme si, il y a bien longtemps, on avait pu manipuler le contenu de nos disquettes, sans les insérer dans notre ordinateur et sans craindre une infection.