Projet de Fin d’Etudes (Télécom Sud Paris 2009)

Dans le cursus de notre formation nous avons été amenés à réaliser une étude approfondie sur une thématique d’actualité ayant trait à la sécurité des systèmes ou réseaux. Nous avons alors choisi de nous orienter sur un projet en partenariat avec une entreprise, nous garantissant un réel apport de connaissances et transformant cette mission en un challenge professionnel. Le sujet qui nous a été proposé est celui de la sécurité dans les navigateurs Web. Les questions qu’il soulève ainsi que les nouvelles solutions apportées par les différents acteurs avaient retenu l’attention des chercheurs d’Orange Labs.

Parmi les attaques portées à l’encontre du poste client, la tendance actuelle des cybercriminels est de concentrer leur frappe sur le navigateur Web. Plusieurs raisons viennent justifier ce choix, notamment le verrouillage des systèmes d’exploitation, l’accroissement du nombre d’antivirus et des solutions de sécurité. Ces différents mécanismes ont accru la complexité de la réalisation d’attaques directes visant le poste client. Le Bureau est donc entrain de devenir une réelle forteresse résistante aux attaques frontales. C’est pourquoi les pirates ont déporté leur point d’entrée sur le navigateur et les technologies Web associées. Le nombre potentiel de victimes est associé au nombre de machines actuellement connectées à Internet et munies d’un navigateur, autrement dit la majorité des Internautes.

Dans ce document vous trouverez la synthèse de nos recherches, qui ont porté sur l’ensemble des navigateurs présents sur le marché au cours de l’année 2009. Nous avons essayé de rester le plus neutre possible et de couvrir la majorité des outils de navigation disponibles sur Internet. Nos sources proviennent des différentes documentations techniques ou marketing dispensées par les éditeurs, des rapports et études de sécurité réalisés par des cabinets experts en sécurité…

Dans un premier temps nous reviendrons sur les motivations et le mode opératoire des attaquants. Nous dresserons une liste exhaustive des différents procédés d’attaque : l’exploitation de bug, l’ajout de code malveillant dans les pages Web ou encore l’usurpation d’adresse URL. Nous approfondirons alors avec la méthodologie des attaques les plus communes : le Cross Zone Scripting et le Cross Site Scripting…

Nous étudierons ensuite les concepts de base et les technologies associées à la navigation Web. Nous traiterons notamment du mécanisme de cookies, des scripts (Javascript), des objets DOM, de la programmation Html et du standard Http. Nous pourrons évoquer les différentes solutions de sécurité implémentées sur les navigateurs telles que la Same Policy Origin, le filtrage, les sondes de surveillance, la restriction des cookies, l’authentification Http…

Nous parviendrons alors à l’analyse détaillée de chaque navigateur : Firefox, Internet Explorer, Chrome, Safari, Opera. Vous trouverez pour chacun de ces navigateurs une présentation intégrant leur positionnement sur le marché, les points forts qui les caractérisent… Nous nous focaliserons sur le management de la sécurité intégré dans ces navigateurs, nous y soulignerons les avancées et les points faibles de chaque éditeur. Nous aboutirons au comparatif des vulnérabilités et de fiabilité des navigateurs Web.

Enfin, nous évoquerons les concepts de base associés aux technologies du Web 2.0 : les protocoles, les formats d’échange des données et l’environnement applicatif. Nous exposerons alors les différents enjeux de sécurité et les nouvelles menaces associées telles que le Cross Site Request Forgery.

Voici le rapport produit : Rapport Sécurité Navigateurs 2009.

Auteurs et binômes : Arnaud Aucher & Najat Esseghir.