Navigateur web et sécurité sur Internet
Sites interactifs
Sites interactifs
- En tant que client d’un serveur web, le navigateur Internet peut recevoir non seulement du code HTML et du code CSS, mais aussi du code JavaScript.
- Javascript est un langage de programmation de scripts qui permet de rendre les pages web interactives en exécutant du code directement sur le poste client.
- Le langage de script JavaScript est considéré comme le troisième pilier du web moderne, en complément du langage de balisage HTML et du langage de présentation CSS.
- L’intégration de code Javascript au sein d’une page web s’effectue par le biais de la balise HTML .
- Le code peut être directement inséré dans la page, ou bien figurer dans une URL distincte référencée au niveau d’une balise de script.
- Le navigateur Internet compose une page web à partir du langage HTML et de feuilles CSS. Le langage Javascript peut ensuite modifier les éléments d’une page web, ainsi que leur apparence.
- L’étendue des fonctionnalités de JavaScript est telle que certaines pages web modernes sont de véritables applications informatiques exécutées dans la fenêtre d’un navigateur Internet.
- JavaScript permet de déporter côté client des tâches qui étaient historiquement effectuées côté serveur, ce qui nécessitait un nombre importants d’allers-retours entre le client et le serveur.
- L’emploi d’un script Javascript de vérification de conformité de mot de passe évite de multiplier les échanges avec le serveur.
Sécurité et confidentialité
Sécurité et confidentialité
- La confidentialité est la caractéristique d’une information qui est uniquement destinée à certaines personnes ou organisations comme la correspondance privée.
- La sécurité numérique consiste en une protection contre les différentes menaces existantes dans le monde numérique et sur le réseau Internet (vol d’informations, destruction de données…).
- Selon les situations, c’est la confidentialité ou la sécurité qui sera compromise, et dans certains cas les deux en même temps.
- Tout téléchargement de fichier disponible sur Internet nécessite de prendre des précautions : vérifier la provenance du fichier en consultant l’adresse URL à laquelle il est hébergé, et faire analyser tous les fichiers téléchargés par un logiciel anti-virus à jour.
- L’hameçonnage consiste à leurrer un internaute en le menant sur un site imitant un site légitime qu’il connaît, afin de dérober des informations sensibles le concernant.
- Les tentatives d’hameçonnage sont généralement initiées à partir d’un courriel frauduleux usurpant l’identité d’un site légitime.
- Il est recommandé de toujours survoler le lien sans cliquer dessus pour visualiser dans la barre d'état du navigateur vers quelle adresse URL ce lien douteux propose de rediriger l’internaute.
- Le « malvertising » désigne la diffusion de code informatique malveillant par le biais de publicité.
- Un message publicitaire imitant un message d’alerte peut faire croire à la présence d’un virus sur l’ordinateur de l’internaute. En réalité il n’en est rien, mais l’antivirus proposé par le même message est lui, malveillant. Ainsi dupé, c’est l’utilisateur lui-même qui installe l’application ou le logiciel piégé.
- Pour mener à bien leurs attaques, les pirates informatiques constituent ainsi de véritables réseaux de machines zombies (appelés botnets en anglais) grâce au hameçonnage. L’effet des attaques par déni de service est démultiplié par le nombre des machines, et les pirates sont masqués par les ordinateurs constituant ces réseaux zombies.
- Un rançongiciel (ou ransonware en anglais) est un logiciel malveillant qui empêche un utilisateur d’accéder à ses données, le plus souvent suite à chiffrement de ces données. Une rançon est exigée pour déverrouiller l’accès à ces données.
Cookies et traqueurs
Cookies et traqueurs
- Un cookie est un témoin de connexion généré par un site Internet qui peut ensuite être lu et mis à jour par le site émetteur lors de consultations ultérieures, permettant de tracer les internautes de manière individuelle.
- Concrètement le cookie est un petit objet proposé par un site lors de sa visite et stocké physiquement par le navigateur sous forme de fichier texte sur la machine de l’internaute. Un cookie peut contenir des informations sur l’internaute, ainsi que sur son cheminement sur le site.
- Le recueil du consentement préalable des internautes est obligatoire pour pouvoir déposer des cookies sur leurs appareils.
- Certains cookies sont indispensables au bon fonctionnement des sites, d’autres peuvent être utilisés à des fins statistiques ou à vocation de ciblage publicitaire.
- Un cookie volatile dure seulement le temps d’une session. Il est donc détruit à la fin de la session, contrairement au cookie persistant, dont la durée est définie par son émetteur.
- Les sites de mesure d’audience, de régies publicitaires, ou encore de réseaux sociaux proposent aux éditeurs d’intégrer des fonctionnalités aux pages de leur site internet en leur fournissant un code à insérer sur les pages concernées. Ce code peut donc générer ou lire ses propres cookies, appelés cookies tiers car ils ne proviennent pas directement du site visité.
- Les plateformes dont les codes et les cookies tiers sont placés sur un grand nombre de sites web peuvent suivre les internautes à la trace et reconstituer au moins partiellement leur cheminement.
- La désactivation des cookies appliquée globalement risque toutefois d’empêcher le bon fonctionnement de sites légitimes qu’on souhaite consulter. De plus, le pistage d’un internaute reste possible même s’il paramètre son navigateur Internet pour refuser tous les cookies.
- Le suivi de l’internaute est possible en composant des URL comprenant de longues chaînes de caractères spécifiques pour chaque utilisateur pour générer des sessions individuelles. Toutefois cette approche est moins sécurisée que le recours aux cookies.
- Il est également possible de recourir à des mouchards graphiques qui prennent la forme d’un élément graphique de très petite taille, généralement invisible pour l’utilisateur, afin de surveiller la consultation de la ressource.
- On peut identifier un internaute par l’empreinte numérique produite par son navigateur Internet calculée à partir des différents éléments de sa configuration informatique.
Paramétrage du navigateur
Paramétrage du navigateur
- Les éléments suivants sont généralement permis par défaut : l’affichage d’éléments considérés comme sûrs tels que les contenus multimédias, l’usage de cookies, l’emploi du langage JavaScript.
- Les éléments suivants peuvent aussi être activés par défaut selon les navigateurs : le blocage de traqueurs inter-sites, la détection de sites potentiellement frauduleux.
- Il est possible de bloquer par défaut les cookies utilisés pour le pistage, mais également de définir une exception pour un site donné.
- Dans tous les cas il est judicieux de consulter le paramétrage du navigateur, et de passer en revue l’ensemble des réglages possibles.
- Les navigateurs proposent de consulter la liste des cookies stockés sur l’appareil de l’internaute, et de supprimer individuellement ou globalement les différents cookies présents.
- La consultation régulière des cookies présents sur l’appareil permet de mesurer l’ampleur de leur usage.
- Les navigateurs conservent par défaut un historique de navigation, qu’il est possible de désactiver ou de supprimer.
- Les réglages de permissions visent à autoriser ou interdire certaines actions et à contrôler l’accès à certaines ressources. Il est ainsi possible d’autoriser ou d’interdire : l’ouverture de fenêtres surgissantes, la localisation géographique de l’internaute, l’envoi de notifications, le lancement automatique de contenus sonores ou vidéos, l’accès à la caméra et au microphone de l’ordinateur.
- Certaines options de sécurité proposent de bloquer des contenus dangereux ou trompeurs, tels que des tentatives d’hameçonnage ou d’installation de logiciels malveillants ou indésirables. Le navigateur se réfère à des listes régulièrement mises à jour de sites répertoriés comme malveillants pour en protéger l’internaute.
- Des fonctionnalités liées au contenu sont également proposées pour assurer une plus grande confidentialité à l’internaute et le protéger de différentes nuisances. Les navigateurs peuvent ainsi empêcher les dispositifs traqueurs inter-sites de suivre le cheminement de l’internaute sur plusieurs domaines. Ils peuvent aussi bloquer les détecteurs d’empreintes numériques.
- Les scripts nuisibles peuvent aussi être détectés et bloqués, notamment les scripts de minage de crypto-monnaies.
- Il est vivement recommandé d’utiliser aussi un mot de passe principal protégeant l’accès à tous les mots de passe mémorisés par le navigateur.
- La navigation privée ne rend en aucune manière l’internaute anonyme, ni pour son fournisseur d’accès, ni pour les sites qu’il visite. Elle revêt uniquement une utilité par rapport à d’autres utilisateurs éventuels du même navigateur sur le même appareil, en ne consignant pas dans l’historique les sites visités et en ne mémorisant pas les recherches effectuées dans ce contexte de navigation privée.
- Des mises à jour sont régulièrement proposées par les éditeurs des principaux navigateurs Internet, elles comportent des mises à jour de sécurité destinées à protéger le navigateur contre des failles de sécurité récemment découvertes.
- Il est donc indispensable d’effectuer rapidement et systématiquement les mises à jour.