S’il n’y avait que le navigateur à mettre à jour, cela pourrait encore se gérer facilement. Mais il est souvent nécessaire de surveiller également les différents composants intéragissant avec celui-ci et permettant d’accéder à des contenus complexes (PDF, vidéos, webex, applications, …). Et ces derniers ne sont pas exempts de vulnérabilités, loin de là. Adobe et Oracle sortent régulièrement des correctifs pour leurs produits phares que sont Adobe Acrobat Reader, Adobe Flash Player et Java. Microsoft annonçait d’ailleurs récemment que son produit de protection contre les malwares (MMPC) avait bloqué 6,5 millions d’attaques Java en seulement six mois. Et là où le bas blesse, c’est que la mise à jour peut bloquer un certain nombre d’applications métier de manière irréversible. On retrouve donc de plus en plus d’entreprises bloquées dans une version bien particulière de Java ou de Service Pack d’IE en raison d’une application critique et malgré le risque important que cela fait peser sur le poste en matière de sécurité.

Cela fait le bonheur des éditeurs qui n’en finissent pas d’inventer de nouvelles couches de sécurité (anti-virus, anti-spyware, anti-malware, …) qui ne font que ralentir le poste ou le réseau et se révélent souvent inefficaces face au premier 0-day venu.

Pour résoudre tous ces problèmes, il faudrait que chaque utilisateur ait à disposition un ordinateur parfaitement configuré et correctement isolé pour chaque application ou chaque besoin. Ou alors, il suffirait d’utiliser Virtual Browser…

Le navigateur est au cœur de la stratégie Cloud des entreprises. Le développement des technologies web dans les environnements professionnels a fait de ce logiciel inventé pour le grand public, le client universel d’accès aux applications cloud des entreprises.

Il est vrai que le navigateur web est gratuit et que tout le monde sait s’en servir, ce qui fait 2 excellents arguments pour l’utiliser, surtout quand les budgets informatiques sont en baisse. Mais utiliser un navigateur en entreprise n’est pas anodin du point de vue de la sécurité :

Une technologie grand public. Les navigateurs répondent à un objectif principal : pouvoir être utiliser simplement par le plus grand nombre. Ce qui implique qu’il doit y avoir le moins de contraintes possibles dans l’expérience utilisateur. C’est pour cette raison que les technologies 2.0 qui permettent une meilleure interactivité vont jusqu’à exécuter du code provenant d’internet dans le navigateur lui-même (Ajax, Flash, Java, ActiveX par exemple)… Mais est-ce le comportement attendu d’un logiciel qui sert aussi à se connecter sur les applications les plus sensibles d’une entreprise (Banque, CRM, Comptabilité) ?

Une architecture non sécurisée. Les professionnels de la sécurité sont de plus en plus conscients que le navigateur est un logiciel non sécurisé. Le problème est triple : (i) d’abord il existe des failles dans les navigateurs comme dans tout logiciel complexe, (ii) ensuite le navigateur est plus exposé que les autres logiciels à la menace parce que c’est lui qui accède à Internet, (iii) enfin le comportement du navigateur est également dangereux à cause de ses nombreux plugins (voir plus haut).

La confidentialité des données en question. Utiliser un navigateur à la maison ou dans un cybercafé pour se connecter à des applications Cloud peut se révéler dangereux pour les données d’une entreprise. En effet, l’utilisation du web permettra à un utilisateur mobile de se connecter à ses services cloud depuis n’importe quel poste équipé d’un browser. Le problème c’est que l’entreprise n’a pas forcément envie que des données sensibles se retrouvent sur « n’importe quel poste ». Or, en utilisant un navigateur, on va laisser des traces sur le poste au travers des cookies, de l’historique ou du cache de ce dernier.

Si les entreprises veulent mettre en place une stratégie Cloud, elles doivent prendre en considération la “problématique navigateur”. Elles doivent penser aux questions qui se posent coté utilisateur afin d’apporter des réponses satisfaisantes du point de vue de l’usage et de la sécurité, dans la mise en place du client d’accès au Cloud.

Pour en savoir plus, vous pouvez télécharger nos livres blancs.

• Après la vulnérabilité dans le composant Video Control qui n’est toujours pas corrigée par Microsoft, c’est au tour du composant Office Web Components Control d’être activement exploité sur Internet pour prendre le contrôle d’Internet Explorer… [Microsoft Security Advisory 973472]
• Mozilla a publié très rapidement une version 3.5.1 de Firefox pour corriger une vulnérabilité critique dans le moteur Javascript pouvant permettre l’execution de code. Depuis, une nouvelle vulnérabilité a été découverte mais Mozilla se défend en indiquant qu’elle n’est pas exploitable, il s’agit juste d’une vulnérabilité DoS…
• Google prend les devants en sortant une version 2.0.172.37 de Google Chrome qui corrige deux vulnérabilités critiques découvertes en interne (et donc pas encore publiques). Sur les deux vulnérabilités, la technologie de sandbox mise en avant par Google ne permet de minimiser l’impact que d’une seule…
• Apple a corrigé deux vulnérabilités critiques dans Safari 4.0.2 : possibilité de cross-site scripting, déni de service et execution de code…

« It’s impossible to build a perfectly secure browser » — Window Snyder

Microsoft est d’ailleurs en train de s’en rendre compte avec une vulnérabilité critique dans IE (dont websense a fait une excellente analyse) qui commence à être activement exploitée afin d’infecter les machines Windows. Habilement sortie en même temps que le patch Tuesday de Décembre, la vulnérabilité risque de faire beaucoup de dégâts avant même que Microsoft ne déploie un correctif, d’autant que les solutions de contournement ne sont pas simples à mettre en œuvre. Pour faire face à cela, Microsoft devrait sortir un correctif en dehors de son cycle habituel dans la journée.

Tout cela met en évidence le fait qu’il est nécessaire de pouvoir restreindre au maximum les conséquences d’une exploitation qui finira fatalement par arriver. Une des solutions est d’isoler le navigateur dans un environnement virtualisé afin d’éviter la prise de controle du poste par un virus.