Sécurité

Le navigateur est au cœur de la stratégie Cloud des entreprises. Le développement des technologies web dans les environnements professionnels a fait de ce logiciel inventé pour le grand public, le client universel d’accès aux applications cloud des entreprises.

Il est vrai que le navigateur web est gratuit et que tout le monde sait s’en servir, ce qui fait 2 excellents arguments pour l’utiliser, surtout quand les budgets informatiques sont en baisse. Mais utiliser un navigateur en entreprise n’est pas anodin du point de vue de la sécurité :

Une technologie grand public. Les navigateurs répondent à un objectif principal : pouvoir être utiliser simplement par le plus grand nombre. Ce qui implique qu’il doit y avoir le moins de contraintes possibles dans l’expérience utilisateur. C’est pour cette raison que les technologies 2.0 qui permettent une meilleure interactivité vont jusqu’à exécuter du code provenant d’internet dans le navigateur lui-même (Ajax, Flash, Java, ActiveX par exemple)… Mais est-ce le comportement attendu d’un logiciel qui sert aussi à se connecter sur les applications les plus sensibles d’une entreprise (Banque, CRM, Comptabilité) ?

Une architecture non sécurisée. Les professionnels de la sécurité sont de plus en plus conscients que le navigateur est un logiciel non sécurisé. Le problème est triple : (i) d’abord il existe des failles dans les navigateurs comme dans tout logiciel complexe, (ii) ensuite le navigateur est plus exposé que les autres logiciels à la menace parce que c’est lui qui accède à Internet, (iii) enfin le comportement du navigateur est également dangereux à cause de ses nombreux plugins (voir plus haut).

La confidentialité des données en question. Utiliser un navigateur à la maison ou dans un cybercafé pour se connecter à des applications Cloud peut se révéler dangereux pour les données d’une entreprise. En effet, l’utilisation du web permettra à un utilisateur mobile de se connecter à ses services cloud depuis n’importe quel poste équipé d’un browser. Le problème c’est que l’entreprise n’a pas forcément envie que des données sensibles se retrouvent sur « n’importe quel poste ». Or, en utilisant un navigateur, on va laisser des traces sur le poste au travers des cookies, de l’historique ou du cache de ce dernier.

Si les entreprises veulent mettre en place une stratégie Cloud, elles doivent prendre en considération la “problématique navigateur”. Elles doivent penser aux questions qui se posent coté utilisateur afin d’apporter des réponses satisfaisantes du point de vue de l’usage et de la sécurité, dans la mise en place du client d’accès au Cloud.

Pour en savoir plus, vous pouvez télécharger nos livres blancs.

La plupart des navigateurs sont impactés par des problèmes de sécurité en ce début de mois de Juillet.

• Après la vulnérabilité dans le composant Video Control qui n’est toujours pas corrigée par Microsoft, c’est au tour du composant Office Web Components Control d’être activement exploité sur Internet pour prendre le contrôle d’Internet Explorer… [Microsoft Security Advisory 973472]
• Mozilla a publié très rapidement une version 3.5.1 de Firefox pour corriger une vulnérabilité critique dans le moteur Javascript pouvant permettre l’execution de code. Depuis, une nouvelle vulnérabilité a été découverte mais Mozilla se défend en indiquant qu’elle n’est pas exploitable, il s’agit juste d’une vulnérabilité DoS…
• Google prend les devants en sortant une version 2.0.172.37 de Google Chrome qui corrige deux vulnérabilités critiques découvertes en interne (et donc pas encore publiques). Sur les deux vulnérabilités, la technologie de sandbox mise en avant par Google ne permet de minimiser l’impact que d’une seule…
• Apple a corrigé deux vulnérabilités critiques dans Safari 4.0.2 : possibilité de cross-site scripting, déni de service et execution de code…

Il y a quelques mois, Window Snyder (responsable sécurité pour Mozilla Corporation) déclarait dans une interview pour Computerworld qu’il était impossible de construire un navigateur sans aucune faille de sécurité. Il suffit de parcourir le Browser Security Handbook publié il y a quelques jours par Google pour s’apercevoir que la tâche n’est effectivement pas simple. Si on rajoute à cela la nécessité de supporter de plus en plus de format de fichiers, les sources de vulnérabilités potentielles sont nombreuses.

« It’s impossible to build a perfectly secure browser » — Window Snyder

Microsoft est d’ailleurs en train de s’en rendre compte avec une vulnérabilité critique dans IE (dont websense a fait une excellente analyse) qui commence à être activement exploitée afin d’infecter les machines Windows. Habilement sortie en même temps que le patch Tuesday de Décembre, la vulnérabilité risque de faire beaucoup de dégâts avant même que Microsoft ne déploie un correctif, d’autant que les solutions de contournement ne sont pas simples à mettre en œuvre. Pour faire face à cela, Microsoft devrait sortir un correctif en dehors de son cycle habituel dans la journée.

Tout cela met en évidence le fait qu’il est nécessaire de pouvoir restreindre au maximum les conséquences d’une exploitation qui finira fatalement par arriver. Une des solutions est d’isoler le navigateur dans un environnement virtualisé afin d’éviter la prise de controle du poste par un virus.