web security

Depuis quelques années, le navigateur reste le point faible des entreprises en terme de sécurité avec un nombre de vulnérabilités exploitées en augmentation et des sorties régulières de correctifs de sécurité.

S’il n’y avait que le navigateur à mettre à jour, cela pourrait encore se gérer facilement. Mais il est souvent nécessaire de surveiller également les différents composants intéragissant avec celui-ci et permettant d’accéder à des contenus complexes (PDF, vidéos, webex, applications, …). Et ces derniers ne sont pas exempts de vulnérabilités, loin de là. Adobe et Oracle sortent régulièrement des correctifs pour leurs produits phares que sont Adobe Acrobat Reader, Adobe Flash Player et Java. Microsoft annonçait d’ailleurs récemment que son produit de protection contre les malwares (MMPC) avait bloqué 6,5 millions d’attaques Java en seulement six mois. Et là où le bas blesse, c’est que la mise à jour peut bloquer un certain nombre d’applications métier de manière irréversible. On retrouve donc de plus en plus d’entreprises bloquées dans une version bien particulière de Java ou de Service Pack d’IE en raison d’une application critique et malgré le risque important que cela fait peser sur le poste en matière de sécurité.

Cela fait le bonheur des éditeurs qui n’en finissent pas d’inventer de nouvelles couches de sécurité (anti-virus, anti-spyware, anti-malware, …) qui ne font que ralentir le poste ou le réseau et se révélent souvent inefficaces face au premier 0-day venu.

Pour résoudre tous ces problèmes, il faudrait que chaque utilisateur ait à disposition un ordinateur parfaitement configuré et correctement isolé pour chaque application ou chaque besoin. Ou alors, il suffirait d’utiliser Virtual Browser…

Le navigateur est au cœur de la stratégie Cloud des entreprises. Le développement des technologies web dans les environnements professionnels a fait de ce logiciel inventé pour le grand public, le client universel d’accès aux applications cloud des entreprises.

Il est vrai que le navigateur web est gratuit et que tout le monde sait s’en servir, ce qui fait 2 excellents arguments pour l’utiliser, surtout quand les budgets informatiques sont en baisse. Mais utiliser un navigateur en entreprise n’est pas anodin du point de vue de la sécurité :

Une technologie grand public. Les navigateurs répondent à un objectif principal : pouvoir être utiliser simplement par le plus grand nombre. Ce qui implique qu’il doit y avoir le moins de contraintes possibles dans l’expérience utilisateur. C’est pour cette raison que les technologies 2.0 qui permettent une meilleure interactivité vont jusqu’à exécuter du code provenant d’internet dans le navigateur lui-même (Ajax, Flash, Java, ActiveX par exemple)… Mais est-ce le comportement attendu d’un logiciel qui sert aussi à se connecter sur les applications les plus sensibles d’une entreprise (Banque, CRM, Comptabilité) ?

Une architecture non sécurisée. Les professionnels de la sécurité sont de plus en plus conscients que le navigateur est un logiciel non sécurisé. Le problème est triple : (i) d’abord il existe des failles dans les navigateurs comme dans tout logiciel complexe, (ii) ensuite le navigateur est plus exposé que les autres logiciels à la menace parce que c’est lui qui accède à Internet, (iii) enfin le comportement du navigateur est également dangereux à cause de ses nombreux plugins (voir plus haut).

La confidentialité des données en question. Utiliser un navigateur à la maison ou dans un cybercafé pour se connecter à des applications Cloud peut se révéler dangereux pour les données d’une entreprise. En effet, l’utilisation du web permettra à un utilisateur mobile de se connecter à ses services cloud depuis n’importe quel poste équipé d’un browser. Le problème c’est que l’entreprise n’a pas forcément envie que des données sensibles se retrouvent sur « n’importe quel poste ». Or, en utilisant un navigateur, on va laisser des traces sur le poste au travers des cookies, de l’historique ou du cache de ce dernier.

Si les entreprises veulent mettre en place une stratégie Cloud, elles doivent prendre en considération la “problématique navigateur”. Elles doivent penser aux questions qui se posent coté utilisateur afin d’apporter des réponses satisfaisantes du point de vue de l’usage et de la sécurité, dans la mise en place du client d’accès au Cloud.

Pour en savoir plus, vous pouvez télécharger nos livres blancs.

Une page web infectée est découverte toutes les 4,5 secondes… Ce n’est pas moi qui le dit mais Sophos dans son dernier rapport sur la cybercriminalité. Et en ce mois de janvier tous les leaders de la sécurité informatique sortent leurs statistiques annuelles et ils sont d’accord sur une chose : les attaques informatiques arrivent par Internet et ciblent les applications web.

A ce sujet, je vous recommande de lire cette compilation intéressante des différents rapports.

Ce constat annonce une bonne et une mauvaise nouvelle… Pour finir sur une note positive, je commence par la mauvaise : Avec le développement des applications sensibles sur le web (grâce aux applications Web 2.0 et autres Cloud Computing) Internet va rester le terrain de jeu préféré des hackers pour quelques années. La bonne nouvelle c’est que l’innovation Virtual Browser est plus que jamais une réponse adaptée pour protéger les internautes et les entreprises. Stress-free internet !

On pourrait croire que les fondations sur lesquelles sont basées la sécurité sur Internet sont avant tout techniques. Il n’en est rien, la sécurité sur Internet est principalement une question de confiance entre différents éléments :

• La confiance qu’a un utilisateur envers son navigateur et sa capacité à lui donner des informations pertinentes et à le protéger ;
• La confiance entre un navigateur et sa liste d’autorités de certification (CA) de confiance ;
• La confiance que l’industrie et les éditeurs portent aux différentes autorités de certifications (CA) sur leur capacité à authentifier les détenteurs de certificats, à vérifier leurs informations et à tout mettre en oeuvre pour techniquement protéger les mécanismes sous-jacents.

Si un seul élément de la chaîne de confiance est défaillant, c’est l’ensemble de la sécurité qui est compromise comme cela a été le cas récemment :

• Eddy Nigg, fondateur de StartCom, a révélé que certstar, un revendeur pour l’authorité de certification Comodo, ne vérifiait aucune information avant de signer les certificats SSL et utilisait des techniques douteuses afin de récupérer de nouveaux clients. Eddy a pu facilement obtenir un certificat pour mozilla.com alors qu’il est nullement lié à l’organisation. Comodo a immédiatement réagi après la divulgation en révoquant le certificat et en créant une enquête interne sur certstar. De son côté, Mozilla veut avoir plus d’assurance de la part de Comodo sous peine de supprimer la CA de la liste des autorités de confiance.
• Un groupe de chercheurs a présenté à la 25ème conférence CCC (Chaos Communication Congress) leurs travaux sur la possibilité de créer un certificat de CA reconnu de confiance par les différents navigateurs et permettant donc de générer des certificats pour n’importe quel site web sécurisé. Pour cela, ils exploitent les faiblesses connues de l’algorithme MD5 encore utilisé (à tort) par certaines autorités de confiance. Avec un bon timing et l’aide d’un cluster de 200 PS3, ils ont réussi a générer un certificat de CA ayant la même empreinte qu’un certificat qu’ils ont fait créer par RapidSSL. Avec un tel certificat en poche, il est possible de créer des attaques de type Man in the middle contre toutes les connexions SSL. Verisign a immédiatement arrêté la signature des certificats en MD5 pour empêcher une éventuelle reproduction.

Difficile ensuite pour l’utilisateur d’être sur à 100% qu’il navigue bien sur un site de confiance malgré tous les indicateurs offerts par son navigateur. Un navigateur à jour et un contrôle systématique des certificats (via OCSP) reste la meilleure méthode pour surfer sereinement. Dans tous les cas, il faut réfléchir à deux fois avant de contourner les messages d’avertissement car les attaques MITM basiques existent bel et bien.

Le mois de Novembre 2008 aura vu son lot de vulnérabilités critiques corrigées dans la plupart des navigateurs du marché. Parmi les plus impactés, on retrouve Safari et Firefox :

• La version 3.2 de Safari totalise pas moins de 11 vulnérabilités pouvant mener à de l’exécution de code, du déni de service ou de la divulgation d’information. Un filtre anti-phishing et le support des certificats EV a également été ajouté en réponse aux critiques de PayPal.
• Firefox 3.0.4, pour sa part, corrige 9 vulnérabilités dont 4 jugées critiques : dénis de service, exécution de code, élévation de privilèges et vol d’information sont au rendez-vous. Pour les utilisateurs de Firefox 2, la version 2.0.0.18 reprend ces correctifs.

Les produits des autres éditeurs sont moins impactés mais on retrouve des versions correctives de la part de :

• Microsoft publie un correctif de sécurité critique (MS08-069) qui corrige des vulnérabilités dans Microsoft XML Core Services : exécution de code à distance et divulgation d’information. A noter que la mise à jour permet désormais de protéger les cookies HttpOnly d’une lecture par un objet XMLHTTPRequest, une protection de plus contre les attaques XSS.
• Google Chrome corrige une vulnérabilité pouvant permettre l’envoi de fichiers à l’extérieur. A noter que la correction est pour l’instant uniquement disponible sur la version pour les developpeurs.
• Opera sort la version 9.62 qui corrige une exécution à distance de code.

Après tout cela, si vous souhaitez en savoir plus sur la virtualisation du navigateur et le cloisonnement des sessions : www.commonit.com.

Je ne suis pas un grand fan des analogies quand on parle d’informatique. Moi qui suis un homme de marketing, j’admets qu’elles ont des vertus pédagogiques et permettent de faire passer des idées qui en matière de nouvelles technologies sont assez difficiles à comprendre. Mais en même temps je leur reproche une tendance à la vulgarisation qui, en tirant les concepts par les cheveux, finit parfois par en retirer la force… Mais puisque commonIT est née d’une innovation technologique que nous destinons au plus grand nombre, une fois n’est pas coutume, je me risque à une analogie :

A Lyon, pas loin de notre siège, a ouvert un centre unique au monde, appelé IWAY dans lequel on peut piloter des formules 1 dans un simulateur si performant que même les pilotes professionnels sont bluffés. Le parallèle avec commonIT et notre produit Virtual Browser est intéressant. Imaginez que vous conduisez une formule 1 dans un simulateur si réaliste que tout se passe comme sur un vrai circuit : vous allez aussi vite, vous avez les mêmes sensations, vous bénéficiez des mêmes technologies, de la même sécurité… Mais si vous avez un accident, vous ne risquez rien, vous redémarrez la course et la partie recommence. Remplacez le circuit par Internet, la formule 1 par un navigateur, l’accident par une attaque informatique et vous comprenez le concept de Virtual Browser : garantir que vos données et vos applications ne risquent rien, même en cas d’attaque.

Parmi les nombreuses discussions qui ont contribuées à la genèse de commonIT, il en est une que Daniel et moi avons eue il y a quelques temps en regardant de près le développement du Web 2.0 qui apportait à peu près autant de nouvelles fonctions que de problèmes de sécurité. Les échanges P2P, les messageries instantanées, les réseaux sociaux, etc… Tout conduisait au même constat : le poste de travail et ses données sont connectés à des applications complexes que les produits existants sont incapables de contrôler correctement. Aucune solution de sécurité n’est fiable à 100%. Tous les éditeurs vous le diront, une solution de sécurité a une obligation de moyen, pas de résultat. Et c’est bien là le problème. Avec le développement exponentiel des nouvelles technologies d’Internet, les moyens à mettre en oeuvre deviennent disproportionnés au regard des résultats. Au cours de cette discussion nous avons cherché à prendre le problème à l’envers de ce que veulent les conventions de notre domaine : Plutôt que de penser à un énième logiciel (anti-virus, anti-spyware, anti-spam, anti-phishing, anti-ce-que-vous-voulez qui serait venu surcharger des produits de sécurité et des postes de travail déjà étouffés par des fonctions plus ou moins efficaces) nous avons remis en cause l’architecture des logiciels de sécurité eux-mêmes. Nous avons imaginé qu’il soit possible d’inventer un produit dont l’architecture garantirait à 100% la sécurité des postes connectés aux applications web.

Un peu plus tard (et environ 10 ans après qu’il ait conçu une architecture qu’IDC appelera UTM - Unified Threat Management), Daniel inventait Virtual Browser, une solution sécurisée nativement, par son architecture. Virtual Browser est un navigateur web qui ne s’exécute pas sur le poste de travail, mais sur un serveur isolé, seuls l’affichage et le son arrivent sur le poste. Le code est éxécuté dans un environnement isolé. Par construction, l’architecture de Virtual Browser garantit que si, malgré le haut niveau de sécurité de la solution, une attaque n’est pas bloquée, les applications, les données et l’ensemble du réseau ne risquent rien. Virtual Browser est la première solution “secure by design”.

Lorsque vous naviguez sur Internet, votre navigateur va automatiquement ou sur votre demande aller récupérer des pages web, photos ou vidéos aux quatre coins du monde. C’est ce qui a fait la force d’Internet et que les sites Web 2.0 utilisent à outrance pour offrir la meilleur expérience utilisateur possible.

A côté de cela, on peut légitimement se demander si le navigateur n’est pas un peu trop crédule dans cette course au liens. Si un site Chinois référence des images présentes sur votre Intranet ou charge une partie du site de votre banque dans sa page, cela ne génera nullement votre navigateur. Et vous ?

Dans le jeu du chat et de la souris qui oppose les pirates et chercheurs en sécurité aux développeurs et mécanismes de protection, l’avantage est actuellement dans le camp du chat. Alors que le Web n’a jamais été aussi développé et utilisé à des fins commerciales, de nombreux problèmes de sécurité noircissent toujours le tableau :

• XSS (Cross-Site Scripting) : Une vulnérabilité dans un site web permettant de faire executer du code externe en contournant la protection de ‘same origin policy‘. Peut servir à voler les cookies de session d’un utilisateur.
• CSRF (Cross-Site Request Forgery) : Un manque de contrôle dans un site web pouvant être utilisé pour faire executer des actions (envoi d’email, modification de mot de passe, …) par un utilisateur à son insus. Il y a quelques semaines, une étude a révélé que certains sites majeurs comportaient ce genre de vulnérabilités. Le site de la banque INGDirect pouvait en particulier être utilisé pour réaliser des transferts d’argent…
• Clickjacking : Technique (récente) permettant de faire charger un site authentifié en arrière plan et de faire cliquer l’utilisateur afin de lui faire exécuter des actions sous son nom et à son insus. Une démo est présente ici.
• Intranet scanning : Utilisation de Javascript (ou non) afin de scanner, d’identifier (et éventuellement d’intéragir avec) un ensemble de machines situés sur le réseau interne.
• DNS rebinding : Exploitation du protocole DNS permettant de contourner la protection de ‘same origin policy‘ des navigateurs afin de faire executer du code ayant accès à un site légitime.

Bien entendu, il est souvent recommandé de se connecter à un site contenant des informations sensibles (type banque) que depuis un navigateur sans aucun autre site ouvert (et de préférence venant d’être démarré). Mais qui relance son navigateur avant de se connecter à sa banque ? Qui ne navigue jamais sur Internet avec un onglet sur son Intranet ou son webmail ?

C’est dans ce contexte que je me suis longtemps interessé à la possibilité de cloisonner les sessions de navigation par niveau de confiance : Il est normal que mon Intranet référence un lien vers Internet, mais il n’est pas normal qu’un site quelconque référence un lien vers mon Intranet. Dans une vie (plus ou moins) antérieure, j’ai étudié avec succès ce type de filtrage au niveau périmétrique mais HTTPS et Javascript permettent de le contourner. La seule possibilité pour le faire de manière efficace est de le faire directement dans le navigateur.

En co-fondant commonIT, j’ai immédiatement milité pour placer le cloisonnement de sessions au coeur du produit VirtualBrowser. Avec la virtualisation du navigateur, le cloisonnement de sessions et la mobilité, Virtual Browser offre une solution efficace et innovante de navigation sécurisée.