Analyse des principales évolutions sécuritaires de " Internet Explorer 7 " vis-à-vis de " Internet Explorer 6 "

Lancé dans le courant du mois d'octobre 2006, le nouveau navigateur web de Microsoft " Internet Explorer 7 " fait déjà beaucoup parler de lui en terme de sécurité.

L’absence marquante d’évolutions du navigateur depuis sa version 6, c'est-à-dire depuis la sortie en 2001 du nouveau système d’exploitation " Windows XP ", a contraint les développeurs à rattraper leur retard vis-à-vis de la concurrence (firefox, opera, etc.) mais aussi des technologies (SSL v3, CSS v2, etc.).

S’il est évident que sur le marché des navigateurs la bataille des nouvelles fonctionnalités est intense, leur intégration se traduit souvent par l’absence de moyens appropriés à protéger les internautes.

Malgré la sortie, fin 2004, du service pack 2 de Windows XP qui améliore la sécurité de " Internet Explorer 6 ", il n’en reste pas moins que la sécurité a du mal à être intégrée au navigateur.

De la même façon les débuts de " Internet Explorer 7 " l’ont d’ailleurs illustré dès sa sortie, puisque pas moins de 3 vulnérabilités majeures ont été découvertes 15 jours après la sortie du navigateur (cf. messages Vuln-Coord du CERT-IST du 20/10/2006 et 30/10/2006).

Mécanismes de sécurité

Afin de mieux protéger l’utilisateur, le nouveau navigateur intègre de nouveaux mécanismes de sécurité, ou à défaut améliore ceux existants.

Il est maintenant possible de désactiver le mode de démarrage de " Internet Explorer " visant à activer par défaut lors du lancement du navigateur les barres d’outils, contrôles ActiveX ou encore plugins pouvant introduire des vulnérabilités dès le lancement de ce dernier.

Depuis la version 6 de " Internet Explorer ", l'utilisateur doit valider l'exécution de tout ActiveX dont l’action est susceptible d’engendrer un risque pour le système. Bien que cette approche sécurise davantage le navigateur, elle nécessite de la part de l’utilisateur une interaction qui, au fil des répétitions, peut finalement accepter toutes les activations afin d’éviter d’être importuné lors de sa navigation.

 
Contrairement aux versions antérieures, " Internet Explorer 7 " désactive les ActiveX installés par défaut dans le navigateur afin d’en permettre un meilleur contrôle par l'utilisateur.

La fonction de blocage des pop-up est une fonctionnalité très récente dans les navigateurs puisqu’elle a fait son apparition dans le service pack 2 de " Internet Explorer 6 ". Celle-ci a été reprise dans les versions suivantes du navigateur et améliorée.

L'outil de blocage des pop-up permet l’apparition d’un bandeau en haut des pages visitées, informant l'utilisateur qu'une fenêtre pop-up a été bloquée. Plusieurs options sont ensuite proposées à l’utilisateur : " Autoriser temporairement les pop-up sur le site visité ", " Toujours les autoriser pour ce site " ou "Modifier les paramètres approfondis du bloqueur de pop-up ".

En termes de configuration du mécanisme de blocage des pop-up, il est possible de définir plusieurs niveaux de blocage, ce qui permet de définir par filtrage, les sites pour lesquels on autorise les fenêtres " pop-up ", les fenêtres pour lesquelles on l’interdit.

Ce mécanisme peut être affiné au fil de la navigation de l’utilisateur, il est possible de modifier à posteriori le comportement de certains blocages en consultant la liste des sites bloqués, et en modifiant celle-ci.

Il est à noter qu’il existe une option qui n’est pas en soit une option de sécurité, mais qui permet d’afficher une fenêtre de type pop-up dans un nouvel onglet, plutôt que de la laisser apparaître sous forme d’une nouvelle fenêtre. En effet il est fréquent de constater que certaines fenêtres pop-up se cachent derrière la fenêtre principale de navigation et reste en arrière plan à l’insu de l’utilisateur afin de réaliser certaines actions pouvant être indésirables.

o Blocage des éditeurs de logiciels

La version 7 de " Internet Explorer " améliore le suivi par signature digitale, et le blocage des éditeurs de logiciels susceptibles d’installer dans le navigateur des  " greffons " téléchargés (plugins, add-ons, etc.).

Des options avancées permettent l’automatisation des mises à jour des certificats, ainsi que des listes de révocations.

Les communications sécurisées de type HTTPS " Internet Explorer 7 " sont désormais basées sur le protocole TLS v1 (Transport Layer Security) réputé plus sûr, contrairement à la version 6, qui ne supportait que les protocoles SSL (Secure Socket Layer) v2 et v3.

Par souci de compatibilité, " Internet Explorer 7 " supporte toujours les anciens protocoles SSL. Toutefois seul SSL v3 est activé par défaut dans les options avancées du navigateur.

" Internet Explorer 7 " poursuit la gestion de la navigation par zone de sécurité utilisée dans les versions précédentes du navigateur. Aucune spécificité n’est introduite dans cette gestion, exception faite dans la version " Windows Vista " du navigateur.

En effet, la version Windows Vista de " Internet Explorer 7 " offre une zone de sécurité supplémentaire isolée, dans laquelle le navigateur s'exécute. Cette zone isolée permet d’empêcher les logiciels espions et autres malwares " d'infecter " le système, en contrôlant l’environnement dans lequel il est exécuté.

Microsoft s'est également attaché à améliorer la sûreté de son navigateur grâce à un système dit " anti-phishing " qu’il expose d’ailleurs dans un livre blanc (cf. document). Au delà de l’orientation commerciale " e-commerce ", ce document décrit l’implémentation de ce mécanisme basé sur des filtres visant à prévenir l'utilisateur que le site sur lequel il se trouve est suspect.

 
Ce mécanisme, intégré en standard dans " Internet Explorer 7 " n’est pas activé par défaut dans le navigateur. Cependant lors du premier démarrage du navigateur, il est demandé (voire conseillé) à l’utilisateur de le mettre en œuvre.

Basé sur le filtrage, il permet de vérifier instantanément, que le site visité par l’utilisateur n'appartient pas à une liste de sites web bloqués.

Cette liste est régulièrement mise à jour par Microsoft et les sociétés de sécurité qui surveillent des sites suspects, et par l’apprentissage de la navigation de certains internautes, à savoir ceux acceptant de participer à l’envoi des sites qu’ils visitent (cf. point 3 exposé ci-après).

Le filtrage " anti-phishing " met en œuvre 3 méthodes de protection de l’utilisateur :

Dans tous les cas, si le mécanisme " anti-phishing " détecte un site malveillant, un message d’avertissement est affiché à l’utilisateur. Le type de message peut différer selon les méthodes d’acquittement souhaitées par l’utilisateur.

Plusieurs suites peuvent être données lors de la visite d’un site suspect.

 
Lors de la première visite d’un site ne faisant pas partie de la liste des sites légitimes, il est demandé à l’utilisateur si la vérification des sites doit être automatique ou non. Si la vérification est automatisée, certains sites visités sont transmis à Microsoft pour vérification (voire enrichissement) de la future liste des sites malveillants. Si l’utilisateur choisit de ne pas automatiser la vérification, et si le site visité contient des techniques reconnues de " phishing ", et s’il n’est pas dans la liste des sites légitimes, une notification simple par icône dans la barre d’adresse sera signalée, et non un avertissement dans la page html.

" Internet Explorer 7 " a amélioré le paramétrage concernant l'utilisation d'applications externes, tels que les " plugins ", les " add-ons ", pour ce qui est de la lecture de fichiers particuliers dans les pages Web consultées (animations, audio, etc.).

La nouvelle version 7, permet par exemple à l'utilisateur de choisir quel type de programme peut être ouvert sans son autorisation préalable, pour lire tel ou tel type de format de fichier.

Le maintien de cette liste permet en termes de sécurité une meilleure visibilité des applications susceptibles d’ouvrir certains fichiers, et par conséquent de réduire celles susceptibles de conduire à des attaques par lecture de fichiers malveillants.

o  Respect des standards

Bien que cela ne concerne pas directement la sécurité, le support des standards en termes de technologie garantit, en termes d’applications, une meilleure sécurité car respectueuse de règles reconnues par tous, ou de respect des bonnes pratiques. Il faut donc souligner que ce respect permet de garantir au moins au niveau du navigateur une meilleure sécurité, sans toutefois le mettre à l’abri si la technologie présente elle-même certaines vulnérabilités.

Ceci dit, afin de rattraper certains retards technologiques accumulés au fil du temps, " Internet Explorer 7 " tend à respecter au mieux les standards en matière de navigation sur Internet. Il implémente à présent une grande partie de CSS v2 (Cascading Style Sheet), et gère le langage XML en type texte. Ceci néanmoins exclut le support de technologies telles que XHTML ou SVG.

Conclusion

S’il est évident que tout nouveau produit engendre bien sûr son lot de vulnérabilités (cf. avis de sécurité Cert-IST sur les vulnérabilités IE7), il ne faut pas négliger l’effort fait par Microsoft pour renforcer la sécurité de ses produits. Un changement notable de sa politique de sécurité dans la gestion de son navigateur en est un début de preuve. Bien que les débuts furent difficiles, et que le navigateur est toujours soumis à de nombreuses attaques (tout comme les navigateurs concurrents), cette nouvelle version renforce malgré tout des aspects élémentaires pour la navigation web.

Globalement, les nouvelles fonctionnalités du navigateur en termes de sécurité permettent de mieux protéger l’utilisateur des nouvelles menaces de la navigation Internet. Toutefois, si les nouvelles technologies amènent de nouvelles opportunités en termes de navigation web, il ne faut pas négliger qu’elles introduisent également de nouveaux risques.

Les nouveaux mécanismes de sécurité implémentés dans le nouveau navigateur sont-ils fiables ?

S’il est difficile de répondre à cette question, étant donné le faible retour d’expérience que l’on a sur le produit, on peut au moins se dire qu’ils ont le mérite d’être là. Tous apportent un meilleur suivi de la sécurité lors de la navigation, un meilleur encadrement de l’utilisateur, et offre un paramétrage fin et approprié de l’outil. Reste à trouver le bon compromis entre sécurité et confort de navigation.

Faut-il passer à " Internet Explorer 7 " ?

Il est clair que pour Microsoft la réponse est forcement "oui", puisque Windows Vista est équipé d'office de " Internet Explorer 7 ". La question ne se pose donc en fait que pour les systèmes plus anciens : Windows 2000 ou XP.

L'élément prédominant dans ce "choix" est pour nous la mise à disposition  ou non de correctifs de sécurité pour les nouveaux problèmes de sécurité qui seront découverts sur Internet Explorer 6. Force est de constater que Microsoft abandonnera un jour " Internet Explorer 6 " (cf. Microsoft Lifecycle Supported Service Packs), pour ne maintenir qu’une version du produit. De toute évidence, il faudra donc "à terme" passer à Internet Explorer 7.

Néanmoins il est important de considérer que le navigateur ne fait pas tout, fusse t’il la dernière version de " Internet Explorer ". Il est nécessaire que l’utilisateur soit conscient, c'est-à-dire informé des risques encourus, et accompagné dans la démarche de migration afin que les mécanismes de sécurité soient exploités au mieux.

Les techniques d’attaques des applications web deviennent de plus en plus nombreuses et complexes (Cross Site Scripting, Cross Site Request Forgery, etc.). Si technologiquement des mécanismes existent pour les bloquer, nombre d’entre elles nécessitent une certaine " complicité " de l’utilisateur.