Plan du site  
pixel
pixel

Articles - Étudiants SUPINFO

Sécuriser sa navigation

Par Antoine VETILLARD Publié le 07/08/2017 à 18:47:34 Noter cet article:
(0 votes)
Avis favorable du comité de lecture

Introduction

« 2016, l’année du Ransomware » est la triste conclusion que nous avons pu lire dans de nombreux articles de presse. Et 2017 ne semble, jusqu’à maintenant, pas être très différente de ce côté. Cette menace a été prise très au sérieux par la plupart des éditeurs d’antivirus qui ont mis tous leurs moyens pour améliorer leurs produits et lancer des campagnes de sensibilisation contre cette menace prenant une ampleur mondiale. Mais pourquoi ne pas commencer par sécuriser sa navigation ? Eviter les sites web malveillants et les arnaques nous éviterait bien des ennuis par la suite. C’est pourquoi je vous propose, au travers de cet article, d’apprendre à protéger votre navigateur de A à Z, ainsi que d’adopter les bons réflexes.

Choisir le bon navigateur

Au vu des parts de marché des navigateurs, on pourrait penser que Chrome, qui détient bien plus de 50% de ces dernières, est le navigateur par excellence. Il existe cependant de nombreux autres logiciels permettant de surfer sur le web tels que Firefox, Opera, Edge, Brave, Safari, Vivaldi…

Mozilla Firefox : ce navigateur a l’avantage d’être open source et multiplateforme, ce qui fait de lui un logiciel très utilisé. Il a l’avantage d’avoir un magasin d’extensions disponibles très rempli. Il est également apprécié pour son côté très modulable et personnalisable à souhait. Cependant il n’est pas doté que de points forts. En effet, ce navigateur est également connu pour son manque d’optimisation. Notons cependant que Mozilla fait de nombreux efforts pour déployer des patchs de sécurité à chaque mise à jour.

Google Chrome, Chromium : Rappelons tout d’abord que Google Chrome est basé sur le navigateur libre multiplateforme Chromium. Ces deux navigateurs sont donc très proches sur de nombreux points. Quelques différences sont cependant notables entre les deux navigateurs, comme l’ajout de Flash Player, un lecteur de PDF ou encore l’auto-update présent dans Google Chrome. Malgré leurs réputations de consommation excessive, ces deux navigateurs ont de très bonnes performances. Pour Google, la sécurité de son navigateur est sa priorité. En effet, le géant de Mountain View a dépensé des sommes importantes pour récompenser les chasseurs de bugs leur ayant rapporté des failles.

Opera : Ce navigateur souffle ses 23 bougies cette année. Malgré ces nombreuses années d’existence, ce dernier n’a jamais eu l’occasion de dépasser les 10% de parts de marché aussi bien sur mobile que sur ordinateur. Son premier avantage est sa disponibilité multiplateforme. De plus, depuis de récentes mises à jour, Opera intègre un VPN gratuit, un bloqueur de publicité natif et un convertisseur de monnaie en temps réel sur les pages affichant des prix. Ce navigateur se dit également optimisé et économiseur de batterie par rapport à ses concurrents. Notons également qu’il n’a jamais attiré l’attention quant à des failles de sécurité, qui sont minimes.

Internet explorer, Edge : Internet explorer a depuis toujours mauvaise réputation. Ceci est notamment dû aux peu de fonctionnalités que ce dernier offre ou encore aux nombreuses incompatibilités avec les dernières versions de HTML ou CSS. Avec la sortie de Windows 10, Edge est venu remplacer ce navigateur mal-aimé. Ce nouveau venu, signé Microsoft, s’est avéré très bon en termes de fluidité et de consommation. Cependant, sur le plan de la sécurité, il a dès sa sortie attiré l’attention. En effet, de nombreuses études ont démontré qu’il a hérité des failles de sécurité de son prédécesseur, IE, en plus des siennes.

Vivaldi : Dirigé par l’ancien PDG d’Opera, Vivaldi a été mis au point en 2015. Celui-ci se veut modulable et optimisé. Essentiellement composé de JavaScript, ce navigateur Open Source et multiplateforme offre un design assez sobre, non sans rappeler celui d’Opera. Avec ses petits gadgets telles que la ligne de commande ou encore sa panoplie de raccourcis, Vivaldi souhaite attirer tout type de public sur son navigateur. Etant basé sur chromium, ce dernier offre la possibilité d’installer toutes les extensions du Chrome Web Store. N’étant pas très connu et de plus très récent sur le marché, ce navigateur ne s’est pas encore illustré, en bien ou en mal, dans le monde de la sécurité.

Brave : Lancé par un ancien employé de la Mozilla Foundation, ce navigateur est assez récent. Il a la particularité d’intégrer HTTPSeverywhere et de bloquer les publicités nativement, ainsi que les trackers. Celui-ci est conforme aux critères du logiciel libre et est multiplateforme aussi bien pour ordinateurs que pour smartphones et tablettes. Fondé à partir de chromium, ce navigateur propose de bonnes performances, même couplé à ses bloqueurs natifs. Malheureusement, dû à sa sortie récente, il ne propose pas encore l’ajout d’extensions tierces. Cependant ce navigateur n’a pas encore attiré l’attention quant à des problèmes de sécurité ou de confidentialité, pour le moment.

Safari : ce navigateur signé Apple est présent sur tous les iDevices depuis 2003 et n’est plus disponible pour Windows depuis 2012. Son catalogue d’extensions est malheureusement assez restreint, comparé à celui de ses concurrents. Malgré son interface agréable, Safari est souvent critiqué pour ses failles de sécurité relativement importantes chaque année. Il est souvent surnommé l’Internet Explorer de macOS, et ce n’est pas un compliment. Cependant, l’optimisation légendaire de ce navigateur ainsi que son nouveau système d’anti-tracking restent des points forts pour celui-ci.

IceDragon et Dragon : Ces deux navigateurs développés par Comodo, l’éditeur de solutions antivirus, ne sont autres que des forks de Google Chrome et Mozilla Firefox. Il n’y a pas de réelles fonctionnalités en plus des navigateurs d’origine. Les principaux changements sont l’optimisation de la consommation de ressources ainsi que la sécurité ajoutée au code source de ces derniers. Ces navigateurs sont régulièrement maintenus à jour par Comodo et restent basés sur les versions les plus récentes de leurs navigateurs d’origine.

Les bonnes pratiques

Il y a de nombreuses petites habitudes à prendre si l’on souhaite rester en sûreté lorsque l’on surfe sur la toile.

La toute première est de faire attention au contenu que l’on télécharge. Que ce soit la pièce jointe d’un e-mail, un document quelconque sur un site de téléchargement ou encore l’installateur d’un logiciel, tous ceux-ci comportent des risques d’infection pour votre appareil. En effet, il est assez simple pour une personne mal intentionnée d’insérer un code malveillant, comme une backdoor, dans, par exemple, un PDF ou même une image. Il est également possible de se retrouver sur une page de téléchargement avec plus d’un bouton pour obtenir le logiciel souhaité, comme sur l’image ci-dessous.

Comment reconnaître le bon bouton ? Prenons l’exemple ci-dessus. On peut tout d’abord distinguer les logos de Google adsense (encerclé en rouge), la plateforme publicitaire de Google, ainsi que les noms des entreprises publicitaires qui nous proposent ces boutons démesurés. Le vrai bouton est donc le dernier (en bleu), le seul où le nom ainsi que le poids du logiciel sont mentionnés. Comme vous pouvez le constater, le vrai bouton n'est pas le plus intuitif.

La seconde attitude à adopter est de faire attention aux liens raccourcis tels que bit.ly, goo.gl ou tinyurl.com. En effet, ces liens renvoient vers d’autres sites web, qui peuvent être des pages malveillantes. Heureusement, il existe des sites permettant de vérifier quel est le vrai lien qui se cache derrière ces raccourcis. Duckduckgo le propose nativement. Il vous suffit d’écrire expand bit.ly/1iwlVYqbit.ly est le lien que vous désirez étendre, et vous le verrez alors apparaitre sous la barre de recherche. Ce genre de liens hypertextes se trouve un peu partout sur le web. Une fois de plus, redoublez de vigilance si vous avez des doutes quant à la fiabilité du site sur lequel vous vous trouvez.

La troisième astuce à mettre en place concerne plus la vie privée mais touche aussi la sécurité, c’est pourquoi je l’insère dans cet article. Il s’agit de l’utilisation des cookies. Tout d’abord, rappelons qu’un cookie, ou témoin de connexion en bon français, est un petit fichier permettant d’enregistrer, sur la machine de l’utilisateur, des informations sur ce dernier. Un cookie a une date d’expiration plus ou moins longue suivant son utilisation. Le cas auquel je voudrais vous sensibiliser est celui où la date d’expiration du cookie de connexion est indéterminée, autrement dit, toutes les fois où l’utilisateur coche la case « rester connecter » sur un site. Je vous déconseille vivement d’utiliser cette option pour la simple raison que les cookies peuvent être interceptés ou récupérés par des personnes mal intentionnées et donc être réutilisés par la suite. Essayer de réutiliser un cookie expiré est dénué d’intérêt. En revanche, utiliser un cookie sans date d’expiration est très intéressant pour l’attaquant.

L’autre aspect qui touche plus à la vie privée est la navigation avec un compte ouvert dans un autre onglet. Par exemple, si vous êtes en train d'utiliser, dans un premier onglet, le service Gmail de votre compte Google, sans avoir pris soin de régler les paramètres, et que, parallèlement, dans un deuxième onglet, vous naviguez sur YouTube, alors, à votre insu, votre historique de visionnage de vidéos sur YouTube sera sauvegardé sur votre compte Google. Même si cela peut vous paraître sans grandes conséquences, sachez qu'en cas de piratage de votre compte, l'attaquant aura toutes ces informations en plus de vos mails. Google a donc également accès à ces informations puisqu'elles sont stockées sur leurs serveurs. Ceci est un exemple parmi tant d’autres, c’est pourquoi je vous recommande vivement de naviguer déconnecté mais aussi de nettoyer fréquemment les cookies et l'historique de votre navigateur. Prendre connaissance et régler les paramètres de sécurité de vos comptes est aussi indispensable.

Je terminerai cette partie par un dernier réflexe, celui de constamment vérifier la barre d’adresse de votre navigateur. Il n’est pas rare de tomber sur une adresse face-book.com ou gmeil.com dont le contenu ressemble étrangement au site original. Ces pages de phishing peuvent même vous rediriger vers le site original, une fois vos précieux identifiants récupérés. Dans ce cas, un compte facebook peut se recréer. Mais qu’adviendrait-il s'il s’agissait de votre compte bancaire ? C’est pourquoi il est primordial de s’assurer de l’authenticité du site sur lequel vous vous rendez.

Les extensions

Si vous avez opté pour un navigateur acceptant les extensions, voici celles que je vous recommande :

HTTPS everywhere : Cette extension développée par l’Electronic Frontier Foundation, en partenariat avec The TOR project, permettra aux sites utilisant le protocole HTTP « classique » de chiffrer obligatoirement les requêtes effectuées lors de votre navigation.

Privacy Badger : Également développée par l’EFF, cette extension basée sur le code source d’Ad Block Plus s’engage à, comme son nom l’indique, assurer la sécurité de votre vie privée. Pour remplir cette tâche, Privacy Badger bloque les publicités et trackers indiscrets.

Adblock : Inspiré du projet Ad Block Plus, le développeur de cette extension a créé ce bloqueur de publicités et de trackers open-source. Celui-ci dispose de plusieurs filtres de blocage que l’on peut activer à souhait. Malgré l’interface agréable et facile d’utilisation, deux points négatifs ressortent de cette extension. Premièrement, votre navigateur risque de consommer plus de ressources lorsque que vous ajoutez cette application à une utilisation intensive de « nouveaux onglets ». Deuxièmement, cette extension étant très utilisée, beaucoup de sites, vivant grâce à la publicité, lui font la chasse et peuvent vous bloquer l’accès à certaines pages tant que vous n’avez pas désactivé l’extension.

uBlock origin : Cette extension se veut être l’alternative de ses concurrents. En effet, elle vient souvent compenser les défauts d’Ad Block, en commençant par la consommation beaucoup moins importante de ressources et surtout par sa capacité à contourner les anti-bloqueurs. Elle comporte, tout comme Ad Block, une liste importante de filtres et scripts additionnels.

NoScript : Bloquer le JavaScript, Java plug-in et Adobe Flash pourra porter atteinte au bon fonctionnement de certains sites mais améliorera votre sécurité. C’est ce que propose cette extension. La fonction la plus utile de celle-ci est la possibilité de bloquer ou autoriser seulement certains scripts intégrés dans les pages web. C’est une solution perçue comme radicale par de nombreux développeurs, mais tout de même efficace.

Disconnect me : Également open source, « sécurité » et « vie privée » sont les maîtres-mots décrivant cette extension. Ce petit programme vous permettra de bloquer plus de deux mille traqueurs et publicités sur les pages web ainsi que les boutons de réseaux sociaux (Facebook, Twitter et Google plus). Ce petit programme va aussi sécuriser vos recherches en les faisant transiter par ses serveurs dans le but de chiffrer et d'anonymiser celles-ci.

Attention, installer trop d’extensions risque de ralentir considérablement votre navigateur. A utiliser avec modération.

Le moteur de recherche

Même si pour de nombreuses personnes il est inconcevable d'imaginer internet sans Google, c’est pourtant possible.

Pour dégoogliser le web, nous connaissons tous des concurrents directs au célèbre moteur de recherche à quatre couleurs tels que Bing ou Yahoo. Mais qu’en est-il des moteurs de recherche qui souhaitent respecter notre vie privée ?

Duckduckgo : « We don’t track you. » est la phrase que l’on peut lire sur les pages de résultats de ce moteur de recherche. En plus de respecter votre vie privée, Duckduckgo propose de nombreux petits gadgets tels qu’un chronomètre, un calendrier, un développeur d’URL et bien plus encore. La dernière fonctionnalité ajoutée est un raccourci vers de nombreux site web, comme le propose déjà le navigateur Google Chrome, nommé bang.

Qwant : ce moteur de recherche français a vu le jour en 2013. Sa philosophie se veut protectrice de ses utilisateurs et neutre dans les résultats sortant lors d’une recherche. Malgré le monopole de Google, qui détient plus de 90% des parts du marché, Qwant a réussi à s’approprier 1,2 % des parts sur le territoire français, en 2016. Un autre point prometteur est le partenariat que ce dernier a signé avec Mozilla, ce qui entraine une intégration de ce moteur de recherche dans le navigateur Firefox.

Startpage : développé par une société néerlandaise, startpage n’est pas un moteur de recherche à part entière. En effet, lorsque vous effectuez une recherche sur ce site, celui-ci va récolter les résultats de Google et vous les présenter tels quels. Quel est donc l’avantage de l’utiliser ? Startpage vous assure l’anonymat de vos recherches en n’enregistrant pas votre adresse IP et respecte votre vie privée en s’abstenant d’utiliser des cookies.

Le pare-feu et l'antivirus

Nombreux sont les internautes qui négligent les protections antivirus et pare-feu. Cependant, permettez-moi de rappeler l’utilité de ces derniers en rapport avec la navigation.

Le pare-feu va réguler les types connexions entrantes et sortantes et donc bloquer celles qui sont imprévues dans les règles définies au préalable. Il peut être virtuel, souvent intégré aux suites d’anti-virus, ou matériel.

L’antivirus va scanner des fichiers présents sur votre ordinateur et comparer ces derniers avec une base de données des virus connus de nos jours.

Parmi ces deux outils de base de sécurité, de nombreuses personnes négligent l’antivirus. En effet, si l’on s’assure de la provenance et de la sûreté de chaque fichier arrivant sur son ordinateur, l’anti-virus est effectivement dénué d’intérêt. Malheureusement, c’est rarement le cas. Une seconde d’inattention suffit pour copier un fichier depuis une clé USB ou télécharger une pièce jointe, moyen de propagation numéro un des rançongiciels (ransomware en anglais). L'utilisateur n’étant pas parfait, je recommande donc l’utilisation d’un anti-virus en arrière-plan, afin de contrer la distraction ou la crédulité de certains utilisateurs.

Les solutions antivirus complètes étant parfois assez onéreuses, et les moyens d’un étudiant étant assez réduits, je vous suggère d’utiliser Virus total en cas d’urgence. Ce site d’origine espagnole est en réalité un antivirus en ligne, utilisant les bases de données de nombreux éditeurs tels que Kaspersky, e-set NOD32, F-Secure et bien d’autres. La seule limite de ce site est évidemment la taille du fichier que vous souhaitez scanner. En effet, le fichier à analyser étant mis en ligne sur leur serveur, la taille est limitée à 64 Mo. Notez que Virus total permet aussi d’analyser des adresses web.

Le pare-feu, quant à lui est primordial pour la sécurité d’un système ou d’une infrastructure. Négliger la configuration de son pare-feu revient à laisser son domicile portes et fenêtres ouvertes et sans surveillance. Une fois de plus, il existe de nombreux pare-feux, couplés à un antivirus ou non lorsqu’il s’agit d’un logiciel.

Le VPN

Le VPN est souvent considéré comme la sécurité par excellence de la navigation. En effet, celui-ci va non seulement vous permettre d’être localisé dans un autre pays, mais va également chiffrer les données qui y transitent. Cette solution assurant sécurité et anonymat peut aussi vous permettre de contourner des blocages réglés par l’administrateur de votre réseau, votre fournisseur d’accès internet ou encore l’Etat dans lequel vous vous trouvez. Comme les plus sceptiques d’entre vous pourront penser, l’anonymat n’est souvent pas parfait. Assurez-vous d’avoir lu la politique de confidentialité de l’offre ainsi que les conditions d’utilisation avant de vous décider pour l’achat d’un abonnement.

La quantité d’offres VPN est abondante sur le web, allant de la gratuité à des prix élevés. Si vous souhaitez en utiliser un gratuit, Zenmate est un bon choix. Ce dernier, téléchargeable sous forme d’extension pour navigateur, vous offre quelques destinations pour une quantité de données illimitée. Cependant, comme de nombreux logiciels gratuits, celui-ci ne se privera pas de vous rappeler qu’il existe une version payante, par le biais de pop-ups fréquentes.

Conclusion

Le premier point important à retenir de cet article est le suivant. Nous aurons beau équiper notre ordinateur de toutes les sécurités les plus onéreuses et les plus efficaces de la planète, si l’utilisateur fait preuve d’un manque de vigilance ou d'une crédulité trop importants, toutes ces dispositions prises seront vaines. La vigilance doit être la plus grande possible lorsque celui-ci navigue sur la toile. Un instant d’inattention ou une confiance mal placée peut coûter cher au(x) propriétaire(s) de(s) (la) machine(s) mise(s) en jeu.

Avec la course à l’innovation la sécurité est parfois négligée par les développeurs de logiciels à utilisation parfois sensible, tel que le navigateur ou le système d’exploitation. C’est pourquoi il est important de ne pas se satisfaire du logiciel tel quel et de toujours aller chercher à le sécuriser. L’entretien fait aussi parti de la sécurité. En effet, supprimer son historique ainsi que ses cookies est à faire fréquemment, surtout si l’on ne s’en sert plus.

La mise en place de ces mesures peut être fastidieuse et sembler inutile à première vue, mais rappelons-nous que la sécurité de doit jamais être prise à la légère car cinq minutes perdues à déverrouiller un accès peut éviter des heures de réparation à l’avenir. Une fois de plus, mieux vaut prévenir que guérir.

Bibliographie

Cette partie présente les différentes sources qui m'ont servi pour la rédaction de cet article.

https://www.lesechos.fr/08/12/2016/lesechos.fr/0211566598845_les-ransomwares--logiciels-extorqueurs--ont-explose-en-2016.htm

http://www.lemonde.fr/economie/article/2017/05/15/cybersecurite-la-rancon-d-un-monde-connecte_5127851_3234.html

http://www.pcworld.com/article/2605933/browser-comparison-how-the-five-leaders-stack-up-in-speed-ease-of-use-and-more.html

http://www.zdnet.fr/actualites/chiffres-cles-les-navigateurs-internet-39381322.htm

https://caniuse.com/#search=compare

http://www.zdnet.fr/actualites/edge-serait-bien-le-digne-heritier-des-failles-de-securite-d-internet-explorer-39829948.htm

http://www.clubic.com/navigateur-internet/microsoft-edge/actualite-793828-edge-inprivate-prive.html

http://www.linformatique.org/mauvais-depart-microsoft-edge-a-herite-de-trous-de-securite-dinternet-explorer.html

http://www.01net.com/actualites/chrome-est-il-vraiment-le-navigateur-le-plus-securise-1136627.html

http://www.01net.com/actualites/wwdc-2017-macos-high-sierra-adopte-le-systeme-de-fichiers-d-ios-1180082.html

https://www.cvedetails.com/product/2935/Apple-Safari.html?vendor_id=49

https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

http://www.lemonde.fr/pixels/article/2016/07/04/le-moteur-de-recherche-qwant-bientot-sur-firefox_4963313_4408996.html

http://gadgets.ndtv.com/internet/features/12-things-duckduckgo-can-do-that-google-cant-596526

http://www.vpnfan.com/blog/disconnect-review/

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels