Rapport Sécurité Navigateurs 2009
FRANCE TELECOM – ORANGE R&D – TELECOM SUD PARIS
La sécurité des
navigateurs Web
Projet de fin d’études
Aucher Arnaud
Esseghir Najat
22/06/2009
Ce document est notre rapport de projet de fin d’études dans le domaine de la sécurité des systèmes
& réseaux. Il couvre l’ensemble des problématiques de sécurité rencontrées dans le monde des
navigateurs Web. Il se base donc sur une étude approfondie des différentes solutions présentes sur
le marché de l’Internet au cours de l’année 2009.
La sécurité des navigateurs Web
2009
1
Table des matières
Introduction ............................................................................................................................................................................... 4
Les attaques sur le navigateur .................................................................................................................................................... 5
Quelles en sont les motivations ? .......................................................................................................................................... 5
Comment est-ce que les pirates procèdent ? ........................................................................................................................ 5
L'exploitation des bugs du navigateur .............................................................................................................................. 5
L'ajout de code malveillant dans des pages Web ............................................................................................................. 6
L'usurpation d'URL ............................................................................................................................................................ 6
Le vol de cookies ............................................................................................................................................................... 6
Quelles sont les attaques connues ? ..................................................................................................................................... 6
Le Cross-Zone Scripting ..................................................................................................................................................... 6
Le Cross-Site Scripting (XSS) .............................................................................................................................................. 7
La sécurité dans les navigateurs Web ........................................................................................................................................ 9
Concepts de base des navigateurs web ................................................................................................................................. 9
HTTP ................................................................................................................................................................................. 9
HTML ................................................................................................................................................................................ 9
DOM ................................................................................................................................................................................. 9
JavaScript ........................................................................................................................................................................ 10
Les cookies ...................................................................................................................................................................... 10
Les contrôles ActiveX ...................................................................................................................................................... 11
Les mécanismes standards .................................................................................................................................................. 11
La Same Origin Policy ...................................................................................................................................................... 11
Le filtrage par port et par URL ........................................................................................................................................ 13
La limitation des connexions simultanées ...................................................................................................................... 13
Restriction de cookie au tiers. ........................................................................................................................................ 14
Authentification de http ................................................................................................................................................. 14
La défense contre l’insertion de script ........................................................................................................................... 14
Mozilla – Firefox ....................................................................................................................................................................... 15
Comment traite-t-on les questions de sécurité ? ................................................................................................................ 15
Quelles sont les implications pour le navigateur ? .............................................................................................................. 16
Chrome JS ....................................................................................................................................................................... 16
La Same Origin Policy et le JavaScript ............................................................................................................................. 16
La Signed Script Policy .................................................................................................................................................... 17
Comment l’utilisateur peut-il gérer la sécurité ? ................................................................................................................. 18
Les Configurable Security Policies................................................................................................................................... 18
Configurer les politiques globales ................................................................................................................................... 18
Politiques par zone ......................................................................................................................................................... 19
Les niveaux de sécurité ................................................................................................................................................... 19
Get & Set ........................................................................................................................................................................ 20
Syntaxe complète pour les références ........................................................................................................................... 20
Désactiver tout Javascript pour un site........................................................................................................................... 21
Peut-on recourir à un certificat maître comme tiers de confiance? .................................................................................... 21
La sécurité des navigateurs Web
2009
2
Le certificat maître .......................................................................................................................................................... 21
L'API ................................................................................................................................................................................ 22
Un modèle reposant sur 2 certificats.............................................................................................................................. 22
Comment gérer les privilèges associés à des fichiers ? ....................................................................................................... 23
Définition ........................................................................................................................................................................ 23
Fonctionnement ............................................................................................................................................................. 23
Limitations ...................................................................................................................................................................... 24
Quelle est la politique de traitement des failles de sécurité ? ............................................................................................ 24
Quelles sont les vulnérabilités connues sous Firefox 3.0 ? .................................................................................................. 24
Différents impacts .......................................................................................................................................................... 24
Exemples de bugs de sécurité résolus dans Firefox 3.0.11 ............................................................................................. 25
Microsoft – Internet Explorer ................................................................................................................................................... 26
La version 6 .......................................................................................................................................................................... 26
La méthodologie SDLC .................................................................................................................................................... 26
Microsoft Security Response Center .............................................................................................................................. 26
Le service Windows Update ........................................................................................................................................... 27
Les zones de sécurité ...................................................................................................................................................... 27
Microsoft Internet Explorer frame restrictions............................................................................................................... 28
IE 6 & Windows XP SP2 ........................................................................................................................................................ 28
Local Machine Zone Lockdown ....................................................................................................................................... 28
Zone Elevation Blocks ..................................................................................................................................................... 28
Les structures MIME ....................................................................................................................................................... 28
La prévention de l’usurpation d’adresses ....................................................................................................................... 29
La gestion des téléchargements sécurisés ...................................................................................................................... 29
Le blocage des fenêtres pop up. ..................................................................................................................................... 30
La gestion des compléments .......................................................................................................................................... 30
Microsoft Windows AntiSpyware (Beta)......................................................................................................................... 30
Internet Explorer 7 .............................................................................................................................................................. 31
Windows Defender ......................................................................................................................................................... 31
Le filtre anti-hameçonnage ............................................................................................................................................. 31
Les certificats SSL ............................................................................................................................................................ 31
La navigation par onglets ................................................................................................................................................ 32
La désactivation des contrôles ActiveX ........................................................................................................................... 32
La protection contre les logiciels malveillants ................................................................................................................ 32
Protection des données à caractère personnel .............................................................................................................. 32
IE7 sous Vista .................................................................................................................................................................. 32
IE8 ........................................................................................................................................................................................ 32
La rapidité, critère de réussite ........................................................................................................................................ 33
Des onglets avec des mémoires isolées .......................................................................................................................... 33
Navigation privée sans trace ........................................................................................................................................... 33
Le filtre SmartScreen ...................................................................................................................................................... 34
Le filtre de script intersites (XSS) .................................................................................................................................... 34
La sécurité des navigateurs Web
2009
3
La prévention de l'exécution des données (PED) ............................................................................................................ 35
La barre d'adresse intelligente et l’historique ................................................................................................................ 35
La restauration après crash ............................................................................................................................................ 35
Les autres navigateurs .............................................................................................................................................................. 36
Google – Chrome v 2.0 ........................................................................................................................................................ 36
Présentation ................................................................................................................................................................... 36
La sandbox ...................................................................................................................................................................... 36
Les black lists .................................................................................................................................................................. 37
Les failles découvertes .................................................................................................................................................... 37
Apple – Safari v 4.0 .............................................................................................................................................................. 38
Présentation ................................................................................................................................................................... 38
Les éléments de sécurité ................................................................................................................................................ 38
Les failles découvertes .................................................................................................................................................... 39
Opera v 9.64 ........................................................................................................................................................................ 39
Présentation ................................................................................................................................................................... 39
La sécurité ....................................................................................................................................................................... 39
Les failles ........................................................................................................................................................................ 40
La nouvelle plateforme ................................................................................................................................................... 40
Comparatif des navigateurs ..................................................................................................................................................... 41
L’avis général ....................................................................................................................................................................... 41
Firefox Version 3 .................................................................................................................................................................. 41
IE Version 8 .......................................................................................................................................................................... 42
Safari Version 3 .................................................................................................................................................................... 42
Opera Version 9.5 ................................................................................................................................................................ 42
Chrome ................................................................................................................................................................................ 42
Comparaison des vulnérabilités .......................................................................................................................................... 43
Le Web 2.0 et ses nouvelles menaces ...................................................................................................................................... 45
Introduction au Web 2.0 .................................................................................................................................................... 45
Le Web 2.O et les nouvelles technologies ......................................................................................................................... 45
Les technologies coté client .......................................................................................................................................... 46
Protocol et chaine de communication ......................................................................................................................... 46
Les structures de données sur Internet .......................................................................................................................... 46
L’environnement applicatif ............................................................................................................................................. 46
Le Web 2.0 et les failles de sécurité ................................................................................................................................... 46
L’injection de code ( Html, XML, …) .............................................................................................................................. 47
Manipulation de code ( JavaScript, …) ......................................................................................................................... 47
Cross site Scripting ....................................................................................................................................................... 47
Cross site Request Forgery ........................................................................................................................................... 47
Conclusion ................................................................................................................................................................................ 48
Bibliographie ............................................................................................................................................................................ 49
La sécurité des navigateurs Web
2009
4
Introduction
Dans le cursus de notre formation nous avons été amenés à réaliser une étude approfondie sur une
thématique d’actualité ayant trait à la sécurité des systèmes ou réseaux. Nous avons alors choisi de
nous orienter sur un projet en partenariat avec une entreprise, nous garantissant un réel apport de
connaissances et transformant cette mission en un challenge professionnel. Le sujet qui nous a été
proposé est celui de la sécurité dans les navigateurs Web. Les questions qu’il soulève ainsi que les
nouvelles solutions apportées par les différents acteurs avaient retenu l’attention des chercheurs
d’Orange Labs.
Parmi les attaques portées à l’encontre du poste client, la tendance actuelle des cybercriminels est
de concentrer leur frappe sur le navigateur Web. Plusieurs raisons viennent justifier ce choix,
notamment le verrouillage des systèmes d’exploitation, l’accroissement du nombre d’antivirus et des
solutions de sécurité. Ces différents mécanismes ont accru la complexité de la réalisation d’attaques
directes visant le poste client. Le Bureau est donc entrain de devenir une réelle forteresse résistante
aux attaques frontales. C’est pourquoi les pirates ont déporté leur point d’entrée sur le navigateur et
les technologies Web associées. Le nombre potentiel de victimes est associé au nombre de machines
actuellement connectées à Internet et munies d’un navigateur, autrement dit la majorité des
Internautes.
Dans ce document vous trouverez la synthèse de nos recherches, qui ont porté sur l’ensemble des
navigateurs présents sur le marché au cours de l’année 2009. Nous avons essayé de rester le plus
neutre possible et de couvrir la majorité des outils de navigation disponibles sur Internet. Nos
sources proviennent des différentes documentations techniques ou marketing dispensées par les
éditeurs, des rapports et études de sécurité réalisés par des cabinets experts en sécurité…
Dans un premier temps nous reviendrons sur les motivations et le mode opératoire des attaquants.
Nous dresserons une liste exhaustive des différents procédés d’attaque : l’exploitation de bug, l’ajout
de code malveillant dans les pages Web ou encore l’usurpation d’adresse URL. Nous approfondirons
alors avec la méthodologie des attaques les plus communes : le Cross Zone Scripting et le Cross Site
Scripting…
Nous étudierons ensuite les concepts de base et les technologies associées à la navigation Web. Nous
traiterons notamment du mécanisme de cookies, des scripts (Javascript), des objets DOM, de la
programmation Html et du standard Http. Nous pourrons évoquer les différentes solutions de
sécurité implémentées sur les navigateurs telles que la Same Policy Origin, le filtrage, les sondes de
surveillance, la restriction des cookies, l’authentification Http…
Nous parviendrons alors à l’analyse détaillée de chaque navigateur : Firefox, Internet Explorer,
Chrome, Safari, Opera. Vous trouverez pour chacun de ces navigateurs une présentation intégrant
leur positionnement sur le marché, les points forts qui les caractérisent… Nous nous focaliserons sur
le management de la sécurité intégré dans ces navigateurs, nous y soulignerons les avancées et les
points faibles de chaque éditeur. Nous aboutirons au comparatif des vulnérabilités et de fiabilité des
navigateurs Web.
Enfin, nous évoquerons les concepts de base associés aux technologies du Web 2.0 : les protocoles,
les formats d’échange des données et l’environnement applicatif. Nous exposerons alors les
différents enjeux de sécurité et les nouvelles menaces associées telles que le Cross Site Request
Forgery.
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
1
/
50
100%
