Surfer sur internet: nouveaux risques et nouvelles parades

Les risques liés à l’utilisation d’internet continuent d’évoluer, qu’ils soient basés sur les changements technologiques ou le comportement des utilisateurs. 
Les méthodes classiques à base de phishing et d’ingénierie sociale sont toujours bien présentes, mais elles visent de plus en plus les nouveaux appareils périphériques portables.
Raisons de cette évolution: la «fragilité» des systèmes d’exploitation de ces appareils, qui n’ont pas fait l’objet de recherche de vulnérabilités poussées, et le rapport de confiance souvent inconsidéré qu’entretient l’utilisateur avec son téléphone portable ou sa nouvelle tablette.

Panorama des nouveaux risques

Les hackers savent profiter de toutes les faiblesses, quelle qu’en soit l’origine. Petit tour d’horizon des nouveaux risques :
Le clickjacking est basé sur l’utilisation de pages web superposées, et permet de leurrer l’utilisateur qui va, à son insu, activer des commandes sur une page web invisible. Bien que datant de 2008, cette technique est toujours très répandue.
Au sein des réseaux sociaux, l’un des événements les plus symptomatiques de 2010 a été l’apparition de Profile Spy, dont la cible était rien moins que le réseau Facebook. Cette application prétendait vous montrer qui avait accédé à votre profil Facebook (ce que d’ailleurs la politique de confidentialité de Facebook interdit). Son but réel était de vous faire souscrire des services payants et de se propager via votre liste de contact.
L’attaque Search engine poisoning, plus furtive, repose également sur la confiance quasi aveugle que nous avons envers notre moteur de recherche préféré. Les hackers utilisent des méthodes d’optimisation pour rediriger les internautes vers des sites prédéfinis. Leurs buts sont multiples, comme le pay per click ou l’installation de malware afin de compromettre la station de l’utilisateur.
Le tabnabbing, lui, va tirer partie de la fonctionnalité multi tab des nouveaux browsers. Via l’exécution de code Javascript, l’une des pages en arrière plan est subrepticement modifiée. Lorsque l’utilisateur revient sur cette page, il se retrouve le plus souvent sur la (pseudo) page de login d’un service classique webmail ou réseau social. Sans se méfier, il réintroduira ses identifiants qui seront ainsi interceptés.
Les chevaux de Troie de dernière génération ciblent également les smartphones. Le fameux Zeus s’est vu adjoindre des fonctionnalités d’interception de SMS afin de capturer la deuxième authentification SMS mise en place par les banques pour renforcer la sécurité des opérations en ligne. Et comme certains de ces chevaux de Troie sont capables de modifier le solde d’un compte et d’occulter les retraits illicites, ce scénario interpelle fortement l’utilisateur.

Précautions et pratiques de bon sens

C’est surtout en cas de négligence grave qu’un système est vulnérable à ces menaces: pas de mise à jour de l’OS ou des systèmes de sécurité,  absence d’anti-malware, surf incontrôlé sur des sites à risque, pratiques dangereuses comme l’acceptation automatique de l’installation de logiciels ou l’utilisation de proxies anonymes. Mais certaines précautions et quelques règles de bon sens minimisent beaucoup les risques les plus répandus.
Dans la plupart des exemples cités, c’est l’exécution de code, volontaire ou non, qui permet la compromission de la machine. Le premier axe de défense est donc de ne pas autoriser l’exécution de scripts dans son browser ou tout au moins d’en limiter les droits lors de l’exécution. Les utilisateurs de Firefox peuvent y adjoindre l’add-on NoScript. Cette couche de sécurité additionnelle vise à bloquer tout exécutable (Java, Javascript, Flash…) au sein du browser; elle causera initialement quelques désagréments, vite effacés par la création d’une liste blanche de sites autorisés. L’utilisation d’un compte utilisateur en place d’un compte administrateur est une autre mesure à prendre.
D’autres mesures sont fortement conseillées: l’utilisation d’un mot de passe unique pour chaque application sensible ou la mise en place d’un système d’analyse de réputation de site (Web of Trust par exemple) qui signale quel risque représente un site web donné.

Mieux cadrer les pratiques de surf

La pratique d’internet dans des environnements non sécurisés comme les WiFi publics est également à proscrire. Si elle s’avère indispensable, elle doit s’accompagner de cryptage «de bout en bout» afin d’éviter l’interception du trafic en clair. En entreprise, des solutions plus techniques peuvent également être envisagées comme par exemple la virtualisation du surf qui permet une isolation totale de chaque session, limitant ainsi les risques de manière drastique (CommonIT).
Les fabricants et éditeurs semblent, selon certaines annonces récentes, avoir pris la mesure du problème. VMWare, par exemple, annonce le développement d’une solution de virtualisation pour smartphone afin de séparer l’utilisation professionnelle et privée d’un même équipement.
En conclusion: la rapidité des évolutions technologiques n’a de pair que l’ingéniosité des hackers. Toutefois, une approche technique cohérente et un comportement avisé lors du surf restent les meilleurs garants d’un niveau de risque acceptable.