• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • À quel point votre navigateur est-il sécurisé?

    Quelle quantité d'informations peut-on extraire de votre profil de navigation en ligne?

    Pourquoi semblez-vous voir des annonces liées à des éléments que vous avez recherchés, récemment achetés ou sur lesquels vous avez lu?

    Quel est le coût d'une exposition complète de votre profil?

    Comment pouvez-vous mieux protéger votre vie privée en ligne?

    Cet article espère vous aider à répondre à ces questions et à bien d'autres et à vous proposer des moyens de mieux protéger votre vie privée en ligne.

    Il est important de noter que les entreprises qui fabriquent les navigateurs que nous utilisons le plus souvent, comme Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, etc. Essayez autant que possible de protéger les utilisateurs et leurs informations personnelles lors de l'utilisation de ces produits. Par conséquent, cet article ne vise pas à saper ces efforts, mais à vous aider, l'utilisateur à faire des choix éclairés lors de l'utilisation de ces navigateurs et d'autres pour diverses activités.

    L'Internet est notre porte d'entrée dans le monde, pour nous aider à atteindre pratiquement n'importe où pour l'information, le commerce, les affaires, la communication et tous les autres besoins et nécessités. D'où la nécessité de nous sécuriser comme nous le ferions habituellement dans le monde réel, car tout le monde sur Internet n'a pas des intentions honnêtes.

    Alors que vous pouvez avoir antivirus sur votre ordinateur, qui bloquent toutes sortes de logiciels malveillants, votre navigateur peut également être vulnérable. Examinons en profondeur certaines vulnérabilités possibles.

    XSS (script intersite)

    Les scripts intersites peuvent simplement être décrits comme un injection de code (généralement, code Javascript). Le but de ce type d'attaque est de compromettre la sécurité d'une application web via le client (principalement via les navigateurs). Les attaquants visent à utiliser ce type d'attaque pour exploiter des validations faibles et un manque de politique de sécurité du contenu (CSP) sur certaines applications Web.

    Il existe différents types de XSS; regardons de plus près ce qu'ils sont et comment ils peuvent être utilisés.

    XSS réfléchi

    Il s'agit d'un type très courant de XSS utilisé pour travailler avec le côté client d'une application. Le code injecté ici n'est pas conservé dans la base de données mais devrait susciter une réponse du côté client de l'application. D'où le nom «reflété». Cette attaque fonctionne avec succès dans le cas où l'application prend en entrée l'utilisateur et renvoie cette entrée après un certain traitement sans enregistrer dans la base de données. Un exemple courant est un forum de discussion miniature, où les messages ne sont pas conservés dans la base de données. Dans de tels cas, l'application prend en compte les entrées utilisateur et les sort au format HTML. Un attaquant pourrait entrer un script malveillant dans ce forum de discussion, par exemple en modifiant le design ou les couleurs de l'application en entrant du CSS dans les balises de script.

    Cela pourrait empirer pour les autres utilisateurs de l'application car le script sera essentiellement exécuté sur leurs navigateurs, ce qui pourrait conduire à un vol d'informations, comme le vol de vos informations de remplissage automatique enregistrées sur le navigateur. De nombreux utilisateurs préfèrent enregistrer les informations généralement saisies sur des formulaires tels que les noms, adresses et informations de carte de crédit, ce qui dans ce cas est une mauvaise idée.

    DOM XSS

    DOM - Document Object Model, est l'interface de programmation qui interprète le HTML (ou XML) utilisé sur les pages Web et définit ainsi la structure logique de cette page Web particulière. Ce type de XSS exploite une application Web avec du code javascript non sécurisé dans le balisage qui compose la page Web. XSS utilisé ici peut être utilisé pour modifier directement le DOM. Cela pourrait être utilisé pour modifier presque n'importe quelle partie de la page Web avec laquelle l'utilisateur interagit, ce qui pourrait conduire au phishing.

    XSS stocké

    Il s'agit d'un type de XSS où le code malveillant est non seulement renvoyé à l'utilisateur, mais également conservé (stocké) dans la base de données du serveur Web sur lequel l'application Web est hébergée. Ce type de XSS est encore plus dangereux car il peut être réutilisé pour attaquer plusieurs victimes car il est stocké (pour une utilisation ultérieure). Cela peut être le cas lorsque les soumissions de formulaires par les utilisateurs ne sont pas bien validées avant d'être envoyées à la base de données.

    En général, XSS peut être de n'importe quel type en combinaison; une seule attaque peut être à la fois réfléchie et persistante. Les techniques employées pour exécuter l'attaque peuvent également varier mais contenir des points communs avec celles mentionnées ci-dessus.

    Certains principaux navigateurs, comme Chrome et Edge en tant que fonctionnalité de sécurité, ont développé leurs propres protocoles de sécurité client pour éviter les attaques XSS connues sous le nom de Protection X-XSS. Chrome avait le XSS Auditor, qui a été introduit en 2010 pour détecter les attaques XSS et empêcher le chargement de ces pages Web lorsqu'elles sont détectées. Cela s'est toutefois avéré moins utile qu'initialement espéré et a ensuite été supprimé après que les chercheurs ont remarqué des incohérences dans ses résultats et des cas de sélection de faux positifs.

    Les attaques XSS sont un défi difficile à relever du côté client. Le navigateur Edge avait également le filtre XSS, qui a ensuite été retiré. Pour Firefox, le, comme le site Web MDN (Mozilla Developer Network) l'a,

    Firefox n'a pas et ne mettra pas en œuvre X-XSS-Protection

    Suivi tiers

    Un autre élément important de l'établissement de votre la vie privée en ligne est d'être averti sur les cookies de suivi tiers. Les cookies sont généralement considérés comme bons sur le Web car ils sont utilisés par les sites Web pour identifier de manière unique les utilisateurs et pour pouvoir personnaliser l'expérience de navigation de l'utilisateur en conséquence. Tel est le cas des sites de commerce électronique où ils utilisent des cookies pour maintenir votre session d'achat et également conserver les articles que vous avez ajoutés au panier. Ces types de cookies sont appelés cookies de première partie. Ainsi, lorsque vous naviguez sur les sites de geekflare.com, les cookies utilisés par geekflare.com sont des cookies de première partie (les bons).

    Il existe également quelques cas de cookies de seconde partie, où les sites Web proposent (ou vendent) leurs cookies de première partie à un autre site pour diffuser des publicités à l'utilisateur. Dans ce cas, les cookies peuvent être considérés comme secondaires. Les cookies tiers sont les cookies générés par de grandes publicités qui sont utilisés pour le suivi intersite et publicité reciblée.

    Ce sont des cookies placés sur les navigateurs des utilisateurs à l'insu de l'utilisateur ou sans son consentement pour obtenir des informations sur l'utilisateur et toutes sortes de profils de données, comme les sites Web que l'utilisateur visite, les recherches, le FAI (fournisseur d'accès Internet) utilisé par l'utilisateur, les spécifications de l'ordinateur portable. , la puissance de la batterie, etc. Ces informations sont utilisées pour former un profil de données Internet autour de l'utilisateur, de sorte qu'elles puissent être utilisées pour des publicités ciblées. Les attaquants qui volent ce type d'informations font généralement un type d'exploration de données et peuvent vendre ces données à de grands réseaux publicitaires.

    Firefox, en septembre 2019, a annoncé qu'il bloquerait les cookies de suivi tiers par défaut sur le navigateur de bureau et mobile. L'équipe a appelé cela la protection de suivi améliorée, qui est indiquée sur la barre d'adresse du navigateur avec une icône de bouclier.

    Le navigateur Safari des appareils Apple empêche également les cookies tiers de suivre leurs utilisateurs sur le Web.

    Sur Chrome, les cookies de suivi tiers ne sont pas bloqués par défaut. Pour activer cette fonctionnalité, cliquez sur les trois points verticaux dans le coin supérieur droit de la fenêtre du navigateur pour afficher une liste déroulante, puis click settings, dans l'onglet Paramètres, à gauche, click privacy and security, puis click site settings, puis click cookies and site data, puis basculez l'option qui lit Block third-party cookies.

    Cryptomères

    Certains sites Web sur Internet contiennent un script de crypto-mining soit par le propriétaire du site Web, soit par un tiers. Ces scripts permettent à l'attaquant d'utiliser les ressources informatiques de la victime pour extraire les crypto-monnaies.

    Cependant, certains propriétaires de sites Web le font généralement comme un moyen de financement lorsqu'ils fournissent des services gratuits et soutiennent que c'est un petit prix à payer pour les services qu'ils offrent. Ces ensembles de sites Web laissent généralement des messages pour que l'utilisateur soit conscient du coût d'utilisation de leur service. Cependant, de nombreux autres sites Web le font sans en informer l'utilisateur. Ce qui pourrait entraîner une utilisation sérieuse des ressources du PC. Par conséquent, il est important de bloquer ces choses.

    Certains navigateurs ont des utilitaires intégrés pour bloquer ces scripts tels que Firefox, qui a un paramètre pour bloquer les cryptomineurs sur le Web et le mobile. De même l'opéra. Pour Chrome et Safari, des extensions doivent être installées sur votre navigateur pour obtenir la même chose.

    Empreintes digitales du navigateur

    Tel que défini sur Wikipédia,

    empreinte digitale de l'appareil or empreinte digitale de la machine sont des informations collectées sur le logiciel et le matériel d'un dispositif informatique distant à des fins d'identification.

    Une empreinte digitale du navigateur est une information d'empreinte digitale collectée via le navigateur de l'utilisateur. Le navigateur d'un utilisateur peut effectivement fournir de nombreuses informations sur l'appareil utilisé. Différents exploits sont utilisés ici même html5 ` `Les étiquettes sont connues pour être utilisées pour les empreintes digitales. Des informations telles que les spécifications de l'appareil telles que la taille de la mémoire de l'appareil, l'autonomie de la batterie de l'appareil, les spécifications du processeur, etc. Une information d'empreinte digitale peut également révéler l'adresse IP réelle et la géolocalisation d'un utilisateur.

    Certains utilisateurs ont tendance à croire que l'utilisation du mode navigation privée sur les navigateurs protège des empreintes digitales, mais ce n'est pas le cas. Le mode privé ou incognito n'est pas vraiment privé; il n'enregistre pas les cookies ou l'historique de navigation localement sur le navigateur; cependant, ces informations seraient toujours enregistrées sur le site Web visité. Par conséquent, la prise d'empreintes digitales est toujours possible sur un tel appareil.

    Fuites Web RTC

    Web RTC (communication en temps réel). Web RTC est venu comme une percée pour la communication en temps réel sur le Web. Selon le Site Web du RTC Web.

    Avec WebRTC, vous pouvez ajouter à votre application des capacités de communication en temps réel qui fonctionnent sur une norme ouverte. Il prend en charge la vidéo, la voix et les données génériques à envoyer entre pairs, permettant aux développeurs de créer de puissantes solutions de communication vocale et vidéo.

    Aussi intéressant soit-il, en 2015, un utilisateur de GitHub (`` diafygi '') a publié pour la première fois une vulnérabilité dans Web RTC qui révèle plusieurs informations sur un utilisateur, telles que l'adresse IP locale, l'adresse IP publique, les capacités multimédias de l'appareil (comme un microphone, caméra, etc.).

    Il a pu le faire en adressant ce que l'on appelle des requêtes STUN au navigateur pour divulguer ces informations. Il a publié ses résultats ici -> https://github.com/diafygi/webrtc-ips.

    Depuis lors, le navigateur a mis en place de meilleures fonctionnalités de sécurité pour se protéger contre cela; cependant, l'exploit s'est également amélioré au fil des ans. Cet exploit est toujours d'actualité. En exécutant de simples audits de sécurité, un utilisateur pourrait voir combien d'informations peuvent être obtenues à partir d'une fuite d'informations Web RTC.

    Sur Chrome, certaines extensions peuvent être installées pour offrir une protection contre les fuites RTC. De même sur Firefox avec des addons. Safari a une option pour désactiver Web RTC; cependant, cela peut avoir un impact sur l'utilisation de certaines applications Web de chat en temps réel sur le navigateur.

    Navigation via un proxy

    Les proxys Web gratuits semblent vous aider à obtenir une meilleure confidentialité en faisant rebondir votre trafic Web sur des serveurs «anonymes». Certains experts en sécurité s'inquiètent du niveau de confidentialité que cela offre. Les proxys peuvent protéger un utilisateur de l'Internet ouvert mais pas des serveurs par lesquels passe le trafic Internet. Par conséquent, l'utilisation d'un proxy Web malveillant `` gratuit '' conçu pour collecter les données des utilisateurs pourrait être une recette pour un désastre. Au lieu de cela, utilisez un proxy premium.

    Comment tester la sécurité du navigateur?

    Les tests de navigateur vous donnent un aperçu de la quantité d'informations qu'un attaquant pourrait obtenir de vous via le navigateur et de ce que vous devez faire pour rester protégé.

    Qualys BrowserCheck

    BrowserCheck par Qualys effectue une vérification rapide sur votre navigateur pour les cookies de suivi et les vulnérabilités connues.

    Vérificateur Cloudflare ESNI

    Cloudflare vérifie rapidement les vulnérabilités de la pile DNS et TLS de votre navigateur.

    Analyseur de confidentialité

    Analyseur de confidentialité scanne votre navigateur pour tout type de failles de confidentialité, y compris l'analyse des empreintes digitales.

    Panopticlick

    Panopticlick propose de tester les cookies de suivi tiers et propose également une extension Chrome pour bloquer tout suivi ultérieur.

    Webkay

    Webkay fournit un aperçu rapide des informations que votre navigateur donne facilement.

    Compatibilité SSL / TLS

    Visite si votre navigateur est vulnérable aux vulnérabilités TLS.

    Comment va mon SSL?

    Tout autour Vérifications de niveau SSL sur votre navigateur. Il teste la compression TLS, les suites de chiffrement, la prise en charge des tickets de session, etc.

    AmIUnique

    Es-tu?

    AmIUnique vérifie si l'empreinte digitale de votre navigateur a été dans une empreinte digitale précédemment collectée dans le monde.

    Comment renforcer les navigateurs?

    Vous devez être plus proactif avec leur confidentialité et leur sécurité, d'où la nécessité d'être sûr du paramètre de sécurité disponible sur le navigateur. Chaque navigateur dispose de paramètres de confidentialité et de sécurité, qui permettent à l'utilisateur de contrôler les informations qu'il peut transmettre aux sites Web. Voici quelques conseils sur les paramètres de confidentialité à définir dans votre navigateur.

    • Envoyer des demandes «Ne pas suivre» aux sites Web
    • Bloquer tous les cookies tiers
    • Désactiver ActiveX et Flash
    • Supprimez tous les plugins et extensions inutiles
    • Installez des extensions ou des addons de confidentialité.

    Utilisez un navigateur axé sur la confidentialité sur mobile or à poser.

    Vous pouvez également envisager d'utiliser un VPN premium, qui offre une invisibilité sur Internet à partir de trackers, scanners et toutes sortes d'enregistreurs d'informations. Être vraiment privé sur Internet, c'est avec un VPN. Les services VPN `` gratuits '', cependant, ont des problèmes similaires évoqués ci-dessus sur les proxys gratuits, vous n'êtes jamais sûr du serveur Web par lequel vous traitez. D'où la nécessité d'un service VPN fiable, qui offrira une bien meilleure sécurité.