Module 3, Unité 3 du cours SecNum Académie proposé par l'ANSSI.

Internet est un endroit riche de contenu où se présentent de nombreuses opportunités, découvertes et échanges mais dans lequel la prudence reste de mise. Les deux principaux usages d'Internet sont la navigation web et la messagerie. Dans cet unité on s’intéresse à la navigation web.

Pour démarrer un parcours sur Internet et accéder à un ensemble de ressources, le moyen le plus courant est d'utiliser un navigateur (browser en anglais). Le navigateur est un logiciel installé sur votre ordinateur ou une application installée sur la tablette/smartphone qui permet d'afficher des pages web et de naviguer entre elles. Il n'y a pas de meilleur navigateur, chacun à ses qualités et défauts.

Il est surtout important d'utiliser un logiciel maintenu, c'est à dire bénéficiant de corrections et de mises à jour régulières. Évidemment, il est également important que l'utilisateur applique ces mises à jour.

Au delà du navigateur utilisé, il existe différents moyens de naviguer sur le web:

• En tapant directement l'adresse de site connu dans la barre d'adresse du navigateur;
• En fournissant des mots clés dans un moteur de recherche. Celui-ci fournit alors une liste de sites susceptibles de répondre à votre besoin;
• En cliquant sur un lien depuis un site déjà connu ou depuis les favoris du navigateur.

Quel que soit le navigateur et le moyen de navigation, il est très important de bien savoir se servir de son navigateur, de savoir réagir aux messages affichés et de le maintenir à jour pour éviter qu'un pirate exploite une vulnérabilité sur une ancienne version.

Notons que nous sommes tous ciblés par les malfaiteurs sur Internet:

• Fausses publicités contenant des fichiers malveillants;
• Site de téléchargements illégaux;
• Inconnus qui nous mettent en confiance sur les réseaux sociaux.

Les dangers sont variés et nous n'avons pas toujours le recul nécessaire pour identifier un contenu à risque ou malveillant. La sensibilisation à une utilisation avisée d'Internet est indispensable mais pas toujours simple à mettre en œuvre.

Dans cette unité nous verrons comment fonctionne concrètement un navigateur et quelles mesures prendre pour limiter votre exposition aux menaces.

Chaque site web accessible sur Internet dispose d'une adresse compréhensible (et si possible mémorisable !) par l’homme. Prenons l’exemple de l’adresse du site de l'ANSSI « www.ssi.gouv.fr ».

Différents niveaux composent cette URL. Étudions sa composition de droite à gauche.

• “.fr” est géré par une association nommée AFNIC ¹⁾.
• Le “.gouv” est un sous-domaine réservé à l’État français.
• Le “.ssi” est le terme choisi par l'État français pour référencer tous les noms de domaines qui relèvent de l'ANSSI.:
• Le “www” est un sous-domaine faisant référence par convention au World Wide Web. Il est traditionnellement destiné à héberger un site web.

Pour visiter le site, il est possible de saisir cette adresse directement dans la barre d'adresse du navigateur.

Dans un navigateur, on rencontre principalement deux protocoles :

• http est le moyen non-sécurisé d’accéder à des ressources,
• https est la variante sécurisée de ce protocole.

Il est recommandé de privilégier les sites affichant le HTTPS.

Étudions à présent ce qu’il se passe lorsque qu'on saisit cette adresse.

Tout d'abord le réseau Internet ne sait discuter qu'avec des adresses IP, l'équivalent d'une adresse postale dans le monde d'Internet. Cette adresse est composée de quatre nombres (ex : 213.56.166.109).

Le premier travail du navigateur est donc d’obtenir la conversion du nom www.ssi.gouv.fr compréhensible par un humain en une adresse IP compréhensible par les machines.

Une fois obtenue, il s'adresse au serveur qui héberge le site web à cette adresse IP (en communiquant au passage son adresse IP d'expéditeur). Le serveur peut ainsi répondre en envoyant le contenu à afficher. Ces concepts vous seront plus largement expliqués dans l’unité 5 de ce module.

Grâce à cette connexion avec le serveur, le navigateur télécharge du contenu et l’interprète (c’est-à-dire qu’il se charge de faire le tri entre les textes, les vidéos, les images, les liens, etc.) puis affiche le tout dans le respect des standards du Web.

Notez que c'est à cette étape que du contenu malveillant peut exploiter les failles d'un navigateur non mis à jour.

En effet, si un module d'interprétation contient une vulnérabilité, le contenu malveillant téléchargé sur le site web peut provoquer le plantage du navigateur voire constituer le début d'une intrusion sur le poste de travail et des dégâts plus importants à suivre pour vos données.

De plus, notez qu’il arrive parfois que vous ayez l'impression qu’un site web « rame » alors qu’il peut s’agir d'un problème au niveau du navigateur.

La première action simple de prévention est donc de maintenir son navigateur à jour.

Nous venons de voir qu'à un nom de site est associée une adresse IP sur laquelle du contenu est hébergé.

Mais où renvoient “www.ssi.gov.fr” ou “www.ssi.gouv.com”?

Tout comme une erreur dans un chiffre d’un numéro de téléphone, une seule erreur de caractère dans l'adresse d’un site vous entraîne vers un site web totalement différent.

Soyez vigilant avec l’écriture de ces adresses puisqu’en théorie n'importe qui peut demander à un prestataire spécialisé (appelé registraire ou registrar), l'enregistrement d'un nom vers une adresse IP si celui-ci n'est pas déjà réservé.

L’objectif du « typosquatting » est de réserver un nom dont la typographie est proche d'un site officiel pour tromper l'utilisateur ou nuire à l'entité.

C'est pour cela que les équipes web d'une entité réservent généralement plusieurs adresses similaires d'un point de vue typographique, avec un maximum d'extensions possibles (.fr, .com, .org, etc.) pour éviter que leurs visiteurs ne tombent sur un site malveillant ou qui nuit à l’image de l’entité.

Pour illustrer ce concept, prenons l’un des exemples les plus marquants de l'histoire du typosquatting qui est celui d’un site réservé aux adultes qui se nommait www.whitehouse.com qui a pour un temps été confondu avec le site institutionnel de la Maison Blanche www.whitehouse.gov.

Aujourd’hui encore un site satirique contre la Maison Blanche est hébergé sous l’adresse www.whitehouse.org.

Pour résumer le typosquatting, faites attention aux fautes de frappe lorsque vous saisissez une URL dans la barre d'adresse de votre navigateur.

Une fois que vous avez accédé au site, vérifiez qu'il correspond à ce que vous attendez et pour éviter toute erreur de saisie ultérieure, enregistrez-le dans vos favoris !

Pour s'y retrouver dans la masse d'informations disponibles sur le Web aujourd’hui on utilise quasi systématiquement un moteur de recherche. Celui-ci parcourt le Web en continu pour remplir de gigantesques bases de données et nous propose une liste de sites web à partir de quelques mots saisis dans le champ de recherche.

Comme pour le navigateur, il n'y a pas de « meilleur » moteur de recherche, juste des différences de philosophie, d'algorithme et une question de goût et d'utilisation.

On peut toutefois considérer que le « meilleur moteur de recherche » est celui qui fournit les résultats les plus pertinents par rapport aux mots-clés, c’est-à-dire qu’il fait exactement ce qu’il est censé faire.

Notons que notre navigation est fortement conditionnée par les résultats renvoyés par le moteur de recherche.

D’ailleurs, une étude statistique a montré que 93% des internautes se limitent à la première page des résultats de recherche de Google.

On comprend alors qu'il est crucial aujourd'hui pour une entreprise ou une entité d'être en bonne position dans les résultats!

Aujourd’hui, pour remplir une réservation d'hôtel, votre navigateur préremplit votre adresse postale, votre numéro de téléphone, etc. La saisie semi-automatique est en effet un outil commode.

• Faire en sorte que le navigateur retienne les paramètres des formulaires peut vous faire gagner un temps précieux, mais en contrepartie cela signifie que vous exposez ces données à un attaquant potentiel…
• Utilisez donc cette fonction avec modération et quoi qu'il en soit pour des informations non sensibles (en excluant les identifiants et les mots de passe).

Il est déconseillé d'utiliser la fonction intégré de votre navigateur pour mémoriser vos mots de passe. Un peu de logique et l'utilisation d'un coffre fort de mots de passe comme vu précédemment sont des moyens bien plus sécurisés. En effet, une fois stockés sur votre ordinateur avec des moyens peu sécurisés, ils sont facilement récupérables par un attaquant. Ces mots de passe pourraient alors lui donner accès à votre messagerie, à votre compte de commerce en ligne etc pour les compromettre.

Vous pensez que vous n'avez rien à cacher? Au contraire, pensez à tout ce que contient votre messagerie… C'est probablement cette adresse que vous utilisez pour réceptionner tous les messages des sites marchands ou pour vos démarches en ligne. Récupérer votre mot de passe de messagerie pourra entre autres permettre à une personne malveillante de réinitialiser tous vos comptes en ligne voire d'usurper votre identité… L'unité 3 de ce module sera dédiée à la messagerie électronique.

Pour les mêmes raisons que nous venons de voir, la mémorisation de votre numéro de carte bancaire est également une pratique à proscrire, que ce soit dans votre navigateur ou sur un site marchand.

De même, un rapide coup d’œil à l'historique de votre navigateur et ce sont toutes vos habitudes de navigation qui sont mises à nu.

Depuis plusieurs années, la plupart des sites web français que nous visitons nous demandent « d'accepter l'utilisation de cookies pour poursuivre la navigation ». Cette législation qui s'applique à tous les sites web vise à préserver la vie privée des internautes. Ainsi, en acceptant les cookies, vous êtes informés que des données de navigation sont susceptibles d’être conservées.

Un cookie est un objet associé à un site web stocké sur l'ordinateur, qui permet à ce site de stocker des informations relatives au client et de récupérer ces informations lors d'une visite ultérieure du client.

A priori rien de bien méchant, mais lorsque ce site web revend et partage ces cookies avec des régies publicitaires, celles-ci deviennent alors capables de tracer les sites que vous visitez en lisant ces fichiers et de vous proposer des publicités ciblées lorsque vous naviguez sur d’autres sites.

Par exemple, si vous avez recherché un vol pour vos prochaines vacances en début de semaine, des publicités de vacances sur un site de vente de chaussures pourront alors s’afficher.

Notez que si vous refusez l'utilisation de ces cookies, vous risquez de ne plus pouvoir utiliser convenablement le site visité. Toutefois les supprimer après une visite ou à la fermeture du navigateur, ne nuit pas à la navigation et cela constitue une bonne pratique sur des postes de travail partagés ou de non-confiance.

La navigation privée est une fonctionnalité désormais intégrée dans la plupart des navigateurs. Celle-ci permet de limiter les traces de navigation laissées sur l'équipement lors de notre passage, mais attention elle ne préserve pas des menaces et on est encore loin de l'accès totalement anonyme sur le grand réseau Internet !

C'est d'ailleurs généralement rappelé lors de l'activation de ce mode : votre fournisseur d'accès ou votre entreprise dispose toujours de traces des sites auxquels vous accédez.

Notez également que les sites web visités peuvent aussi garder la trace de votre passage. Ce mode de navigation permet donc d'effacer les traces sur l'équipement utilisé et il active également la fonctionnalité « Do-Not-Track » indiquant aux serveurs web que vous ne souhaitez pas être pisté (le serveur web pouvant ou non tenir compte de cette requête).

En général, ce mode permet au minimum l'effacement de l'historique et des cookies lors de la fermeture de la fenêtre.

Votre navigateur vous indique qu'il a détecté un virus, que la dernière mise à jour de l'antivirus est requise, ou qu'il peut améliorer les performances de votre ordinateur en téléchargeant un logiciel ?

STOP ! Vous visitez une page très certainement malveillante.

Cliquer sur ce genre de fenêtre vous garantit des ennuis à suivre: PC volontairement plus lent pour vous inciter à acheter une version payante d'un logiciel, installation d'un virus voire chiffrement complet de vos données vous empêchant d'y accéder, etc.

Si un message de ce type survient : fermez tout de suite la page web sans cliquer sur le message !

La détection des navigateurs peut vous aider dans votre navigation puisqu’elle permet à certains sites web d’adapter leurs messages en fonction de la taille de votre écran ou du système utilisé (ordinateur de bureau, téléphone, tablette, etc.). Même s’il dispose de ces informations, soyez prudents car un site web n'a normalement pas accès au contenu de votre ordinateur, il ne peut pas mesurer ou analyser ses performances.

Si un message vous invite à cliquer pour démarrer ce genre d'analyse ou de téléchargement d'outil, ne cliquez pas !

Chaque navigateur permet d'installer des extensions qui enrichissent ses fonctionnalités, mais là encore il faut faire preuve de prudence.

En effet, ces extensions vont potentiellement avoir accès à toutes les communications réalisées et donc à toutes les informations stockées par le navigateur.

Sous couvert d'une fonctionnalité très pratique, il est souvent très difficile voire impossible d'étudier en détail ce que l'extension fait réellement ou de connaître les permissions qu'elle demande.

Certaines extensions, spécialisées dans le blocage de publicités ou la préservation de la vie privée sont utiles, mais leur paramétrage pour une navigation qui demeure conviviale peut être un frein. Ces extensions sont donc destinées à des utilisateurs avertis.

Les extensions de type Java et Flash en revanche sont des modules complémentaires historiques qui étaient nécessaires pour de nombreux sites.

Ils tendent aujourd’hui à disparaître (car remplacés par des technologies intégrées plus récentes).

Comme ils représentent des portes d'entrée pour les pirates dès lors qu'une vulnérabilité est connue, ils sont généralement à proscrire.

Soyez vigilant et limitez l’installation de ces extensions autant que possible.

Si vous avez réellement besoin d’une extension précise, il est recommandé d’utiliser le magasin d'applications (store) de votre navigateur pour sélectionner celles qui vous intéressent vraiment.

Faites-en sorte de ne pas activer ces extensions par défaut sur votre navigateur mais « à la demande » ou pour des sites de confiance uniquement (ceux que vous avez l'habitude de visiter et en lesquels vous avez confiance). Pour cela utilisez les paramètres de configuration de votre navigateur, vous serez ainsi protégé d'un clic distrait vers un site qui déclencherait l'exécution d'un code malveillant.

Aujourd’hui, naviguer sur le Web, s'apprend dès le plus jeune âge.

Les nouvelles générations naissent avec le Web à portée de main et même si des sensibilisations sont prévues à l'école, c'est à la maison que l’on prend les meilleures (ou les pires…) habitudes.

Sur ce sujet, la CNIL émet déjà des recommandations pour les enfants mais aussi pour leurs parents.

Les solutions de contrôle parental peuvent être un bon complément sur l'ordinateur familial, pas nécessairement pour « tracer » toute l'activité de son enfant, mais pour faire en sorte que le périmètre d'accès au Web soit restreint à des contenus adaptés à son âge.

Notez que dans la plupart des cas les smartphones ou les tablettes ne disposent pas de solutions efficaces pour effectuer ce contrôle.

Retenez que le moteur de recherche est en quelque sorte la première porte d'entrée du Web, il est donc pertinent d'utiliser un moteur adapté aux enfants, notamment en termes de filtrage de contenu.

Il en existe de nombreux sur le marché que vous pourrez trouver en cherchant « moteur de recherche pour enfants » dans votre moteur de recherche favori.

Depuis début 2015, plusieurs écoles françaises utilisent le moteur de recherche Qwant Junior de manière expérimentale.

Si vous constatez que votre navigateur est de plus en plus lent, que votre page à l'ouverture n'est plus la même ou que des barres de recherche ou d'onglets se sont ajoutées, plusieurs causes sont possibles mais la plus probable semble que vous ayez été infecté.

En contexte professionnel, contactez immédiatement l’équipe de direction des systèmes d'informations si elle existe afin qu’elle se charge d’éliminer l’infection.

En tant que particulier, une mesure possible est de désinstaller les éventuelles extensions ou de réinstaller le navigateur (après avoir préalablement récupéré le fichier d'installation sur le site de l'éditeur).

• https://www.cnil.fr/fr/cookies-et-autres-traceurs/comment-se-proteger/maitriser-votre-navigateur#5558
• https://www.cnil.fr/fr/cookies-et-autres-traceurs
• https://www.cnil.fr/fr/accompagnez-votre-enfant-pour-un-usage-dinternet-plus-sur