Un navigateur peut en cacher un autre

L'affaire commence doucement, une attaque logique d'une société pour récupérer des données. Cela arrive tous les jours, malheureusement. Mais voilà, comme la société s'appelle Google, se trouve en Chine, et que le vecteur d'attaque se nomme Internet Explorer, l'affaire se retrouve à faire la une. Hormis l'aspect quasi comique de la situation, imaginez Microsoft attaqué suite à une vulnérabilité Firefox (ou Chrome!), nous aurions pu en rester là...


Mais non, deux organismes (sérieux, au moins jusqu'à là), l'un allemand, l'autre français ont publié un communiqué disant qu'il ne fallait pas utiliser Microsoft Internet Explorer, tant que la firme de Seattle n'aurait pas comblé cette brèche (celle ci fut résolue moins d'une semaine après cet avis) , en attendant il est recommandé d'utiliser un navigateur alternatif. Cela part d'un bon sentiment, mais comme on dit l'enfer est pavé de bonnes intentions.

Ces deux organismes insinuent donc, qu'il ne faut pas utiliser Internet Explorer mais d'autres navigateurs alternatifs plus sécurisés car n'ayant pas de vulnérabilités connues (aujourd'hui). Ceci est à mon avis très grave, car, il risque d'introduire un sentiment de (fausse)sécurité à utiliser d'autres navigateurs pour l'utilisateur. Or, c'est affreusement faux. Internet Explorer a bien sûr certaines failles, qui d'ailleurs pour certaines restent non traitées à ce jour, mais les autres navigateurs aussi, même si elles ne sont pas connues aujourd'hui, elles le seront demain. Microsoft Internet Explorer reste le navigateur le plus attaqué, ceci est aussi la rançon de la gloire. Lorsqu'un des navigateurs alternatifs représentera plus de 50% du marché, on en reparlera. Et je gage que ces organismes repartiront en guerre contre ce navigateur...

Et d'ailleurs, il n'est pas besoin de vulnérabilités pour attaquer via un navigateur, il y a les scripts... C'est bizarre, car en préparant cet article (pour ceux qui en doutent, si si je prépare), j'ai subi une attaque d'un javascript en surfant sur un site, et je devance votre question pas un site de l'underground profond. Je tairai le nom de ce site par charité chrétienne bien entendu, puisque je viens d'y retourner le script malfaisant n'y est plus. Ceci tend à démontrer que le principal vecteur d'attaque pour les prochaine années sera le navigateur, qui mettra aux quasi oubliettes la messagerie. Le navigateur est très sexy pour un attaquant, puisque les scripts peuvent être agnostiques du système d'exploitation, il traite des formats se prêtant aux attaque type flash, et pdf, et car à l'heure actuelle, à moins de supprimer l'exécution de tout script(ce qui rend presque impossible de surfer, je sais j'ai essayé), il n'y a pas d'antidote....

Alors que faire, ne plus utiliser Internet, c'est une solution... J'espère vous avoir fait peur (je ne vois pas pourquoi, ce ne pourrait êtres le fait que des deux organismes presque sus cités) , car il y a un espoir... La virtualisation. Il faut au moins virtualiser le navigateur dans votre système d'exploitation, et des solutions existent qu'elles soient payantes (pas de chèque, pas de citation, na), ou gratuites comme sandboxie (qui existe même en béta pour les systèmes Windows 64 bits), ou Vmware (eh oui, vmplayer plus un mini système ubuntu/firefox), et même Microsoft qui propose pour certaines éditions de Windows 7 professionnelles (vu comme un kit pour faciliter la migration)un kit Virtual PC et Windows XP/Internet Explore (une offre qui ne dura peut être pas).

Nicolas Jacquey
Philippe Maltere

_