Cours : Navigateur web et sécurité sur Internet

Définition

Navigateur (informatique) :

Un navigateur est un logiciel qui permet de consulter des pages web.

Attention, il ne faut pas confondre navigateur et moteur de recherche. Il est fréquent de se servir de Google (moteur de recherche) sur Chrome (navigateur), mais on peut également effectuer une recherche sur Google depuis Safari ou Microsoft Edge, deux navigateurs.

Sites interactifs

En tant que client d’un serveur web, le navigateur Internet peut recevoir non seulement du code HTML et du code CSS, mais aussi du code JavaScript. Ce code permet au serveur web de faire exécuter des traitements sur la machine cliente, c’est-à-dire l’ordinateur, l’ordiphone ou la tablette d’un internaute. Ce code peut interagir avec le serveur web mais aussi avec les ressources de la machine cliente.

• Le langage de script JavaScript est considéré comme le troisième pilier du web moderne, en complément du langage de balisage HTML et du langage de présentation CSS.

Définition

JavaScript :

Javascript est un langage de programmation de scripts qui permet de rendre les pages web interactives en exécutant du code directement sur le poste client.

Les navigateurs Internet modernes supportent tous JavaScript. Ils sont donc capables d’exécuter localement le code Javascript présent dans une page web téléchargée depuis un serveur.

Intégration dans une page web

L’intégration de code Javascript au sein d’une page web s’effectue par le biais de la balise HTML <SCRIPT> prévue à cet effet. Le code peut être directement inséré dans la page, ou bien figurer dans une URL distincte référencée au niveau d’une balise de script.

Exemple

Voici un extrait de code HTML comprenant une balise pour intégrer du Javascript.

<!DOCTYPE html>
<html lang="fr">
<head>
<meta charset="UTF-8">
<title>Alerte JavaScript</title>
</head>
<body>
<h1>Alerte JavaScript</h1>
<p>Cette page affiche une alerte JavaScript.</p>
<script>
alert("Bonjour !");
</script>
</body>
</html>

Il est possible d’insérer plusieurs balises JavaScript distinctes en différents endroits sur une page HTML, et de faire référence à plusieurs fichiers externes contenant du code JavaScript, de la même manière qu’il est possible de faire appel à plusieurs feuilles de styles CSS.

Attention

La fin de l’élément <body> est à privilégier pour l’emplacement des balises <script> afin de ne pas pénaliser l’affichage des éléments visibles de la page.

Manipulation des pages web

Le navigateur Internet compose une page web à partir du langage HTML et de feuilles CSS. Le langage Javascript peut ensuite modifier les éléments d’une page web, ainsi que leur apparence.

Les modifications opérées par JavaScript peuvent concerner :

• le contenu HTML,
• les attributs HTML,
• les styles CSS,
• l’affichage ou le masquage d’éléments HTML,
• l’ajout ou la suppression d’éléments HTML.
• Cette capacité à modifier dynamiquement les éléments d’une page web est généralement mise à profit pour interagir avec l’utilisateur sur la base d’événements déclenchés par celui-ci :
• déplacement, survol ou clic de souris,
• sélection ou activation d’éléments,
• saisie de texte et autres usages du clavier.

Il est ainsi possible de faire apparaître ou disparaître dynamiquement des éléments en fonction d’actions de l’utilisateur.

Outre sa capacité à manipuler les éléments d’une page web et leur apparence, JavaScript est un véritable langage de programmation moderne : il est capable de gérer des variables, des fonctions et des objets pour effectuer toutes sortes de traitements. De nombreuses bibliothèques spécialisées permettent d’étendre ses possibilités en fonction des besoins.

À retenir

L’étendue des fonctionnalités de JavaScript est telle que certaines pages web modernes sont de véritables applications informatiques exécutées dans la fenêtre d’un navigateur Internet.

Traitements côté client

JavaScript permet de déporter côté client des tâches qui étaient historiquement effectuées côté serveur, ce qui nécessitait un nombre importants d’allers-retours entre le client et le serveur pour effectuer des traitements parfois minimes.

Exemple

L’emploi d’un script Javascript de vérification de conformité de mot de passe évite de multiplier les échanges avec le serveur. Un tel script permet de vérifier directement au niveau du client si tous les critères requis sont bien présents, notamment le nombre et le type de caractères, ou encore la présence obligatoire de certains caractères spéciaux.

• Tant que l’utilisateur n’a pas proposé de mot de passe valide, rien n’est envoyé au serveur.

Attention

Pour des raisons de sécurité, la vérification de conformité côté client ne dispense pas d’effectuer des vérifications de sécurité côté serveur. Un internaute malveillant pourrait en effet contourner les restrictions imposées par le code côté client pour transmettre des données non filtrées par le script.

Exemple

Voici un extrait de code qui s’exécute localement.

<!DOCTYPE html>
<html lang="fr">
<head>
<meta charset="UTF-8">
<title>Longueur de mot de passe</title>
</head>
<body>
<h1>Mot de passe</h1>
<p id="message">Entrez un mot de passe ci-dessous :</p>
<form>
<input id="motdepasse" type="password"
onkeyup="evalueLongueur()">
</form>

<script>
function evalueLongueur() {
let motdepasse = document.getElementById("motdepasse").value;
if (motdepasse.length >= 8) {
document.getElementById("message").innerHTML = "Mot de passe de longueur acceptable";
}
else {
document.getElementById("message").innerHTML = "Mot de passe trop court";
}
}
</script>

</body>
</html>

Les fonctionnalités associées au langage JavaScript rendent les pages web dynamiques et capables de se comporter comme de véritables applications au sein du navigateur.
Mais ces possibilités de modifications de la page web entraînent aussi leur cortège de risques en matière de sécurité. Il convient donc de prendre un certain nombre de précautions lors de l’utilisation d’un navigateur Internet.

Sécurité et confidentialité

Il est important de saisir la distinction entre confidentialité et sécurité. Ces deux concepts se recoupent dans certains cas, mais sont indépendants. Après les avoir définis, nous présenterons différents risques liés à l’usage de l’Internet.

Définition

Confidentialité :

La confidentialité est la caractéristique d’une information qui est uniquement destinée à certaines personnes ou organisations.

Exemple

Les courriers électroniques, ou courriels, constituent une correspondance privée qui revêt un caractère confidentiel. Leur divulgation est réservée au seul destinataire légitime de ces courriers.

Définition

Sécurité :

La sécurité numérique consiste en une protection contre les différentes menaces existantes dans le monde numérique et sur le réseau Internet.

Exemple

Parmi les menaces liées à l’usage d’Internet, figurent la perte de disponibilité, le détournement de ressources, le vol d’informations et la compromission de l’intégrité des données ou tout simplement leur destruction.

• La confidentialité concerne le caractère privé ou secret d’informations, tandis que la sécurité vise la protection contre des menaces. qui ne concernent pas que la confidentialité.

Selon les situations, c’est la confidentialité ou la sécurité qui sera compromise, et dans certains cas les deux en même temps.

Étudions maintenant quelques risques liés à l’usage d’Internet.

Risques liés au téléchargement de fichiers

Tout téléchargement de fichier disponible sur Internet nécessite de prendre des précautions. La première d’entre elles consiste à vérifier la provenance du fichier en consultant l’adresse URL à laquelle il est hébergé. Logiciels et applications doivent être téléchargés uniquement à partir de sources officielles. On examinera avec attention le nom de domaine pour s’assurer qu’il ne s’agit pas d’un site imitant un site officiel pour leurrer l’internaute.

Exemple

n°1 http://www.openoffice.org/download/index.html
n°2 http://www.openoffice.org.me/download/index.html
L’adresse n°1 est celle de l’éditeur de la suite bureautique libre et gratuite OpenOffice.
L’adresse n°2 imite l’adresse du site officiel et pourrait proposer une version du logiciel infectée par un virus.

La seconde précaution consiste à faire analyser tous les fichiers téléchargés par un logiciel anti-virus à jour. Cette analyse doit être effectuée non seulement pour les fichiers exécutables, mais aussi pour les archives, les documents pdf ou encore les fichiers de bureautique, afin de s’assurer qu’ils ne contiennent pas de virus connu. Des virus inconnus pourront aussi être détectés par un logiciel anti-virus dont la protection en temps réel est activée, grâce à la détection d’activités suspectes sur l’appareil lors de l’ouverture du fichier téléchargé.

Hameçonnage

Parmi les menaces récurrentes présentes sur Internet figure l’hameçonnage.

Définition

Hameçonnage :

L’hameçonnage consiste à leurrer un internaute en le menant sur un site imitant un site légitime qu’il connaît, afin de dérober des informations sensibles le concernant.

Les tentatives d’hameçonnage sont généralement initiées à partir d’un courriel frauduleux usurpant l’identité d’un site légitime. Le destinataire du courriel est invité à cliquer sur un lien supposé lui faire accéder à ce site. Il accède en réalité à une imitation graphique du site. Trompé par l’apparence familière du site, l’internaute est ensuite incité à fournir des informations personnelles sensibles liées à son identité numérique, son compte bancaire ou sa carte de crédit.

Astuce

En cas de doute sur un hyperlien proposé par un site ou dans un courriel, il est recommandé de toujours survoler le lien sans cliquer dessus pour visualiser dans la barre d'état du navigateur vers quelle adresse URL ce lien douteux propose de rediriger l’internaute.

Faux virus ou fausse mise à jour

Les internautes peuvent être exposés à de faux messages annonçant la présence d’un virus.

Définition

Malvertising :

Le « malvertising » (mot-valise anglais construit à partir de malicious advertising) désigne la diffusion de code informatique malveillant par le biais de publicité.

Exemple

Les utilisateurs sont incités à télécharger sous différents prétextes des logiciels ou des applications contenant du code malveillant. Un message publicitaire imitant un message d’alerte peut faire croire à la présence d’un virus sur l’ordinateur de l’internaute. En réalité il n’en est rien, mais l’antivirus proposé par le même message est lui, malveillant.

• Ainsi dupé, c’est l’utilisateur lui-même qui installe l’application ou le logiciel piégé.

Certaines variantes indiquent à l’internaute qu’il doit mettre à jour un composant logiciel sur son ordinateur pour pouvoir accéder à un document ou consulter une vidéo. S’il se laisse tenter il installera là encore du code malveillant sur son appareil. Ce code peut chercher à voler des informations confidentielles, à espionner l’utilisateur en enregistrant ses frappes au clavier ou en l’écoutant via le micro de son appareil. Ce code peut aussi transformer l’appareil en machine zombie.

Réseaux de machines zombies

Pour mener à bien leurs attaques, les pirates informatiques peuvent avoir besoin de ressources importantes. Dans ce cas ils prennent le contrôle de nombreux ordinateurs d’internautes à leur insu, par exemple en utilisant la technique de l’hameçonnage que nous venons d’étudier.
Ils constituent ainsi de véritables réseaux de machines zombies (appelés botnets en anglais) qui leur donnent le contrôle sur un grand nombre d’ordinateurs, à partir desquels les attaques seront menées. L’effet des attaques est démultiplié par le nombre des machines, et les pirates sont masqués par les ordinateurs constituant ces réseaux zombies.

Quand elles sont coordonnées, de telles attaques peuvent empêcher des sites de fonctionner en les faisant crouler sous un nombre très important de requêtes simultanées : il s’agit d’une attaque par déni de service.

Rançongiciel

La prise en otage de données par un rançongiciel constitue un autre risque de sécurité numérique.

Définition

Rançongiciel :

Un rançongiciel (ou ransonware en anglais) est un logiciel malveillant qui empêche un utilisateur d’accéder à ses données, le plus souvent suite à chiffrement de ces données. Une rançon est exigée pour déverrouiller l’accès à ces données.

Le site https://www.cybermalveillance.gouv.fr/ est un outil officiel d’aide à la cybersécurité. Il propose de nombreuses fiches de conseils et permet d’enregistrer une plainte relative à une action malveillante sur Internet.

Contrairement à certaines idées reçues, les pirates ne ciblent pas uniquement les grandes entreprises. De nombreux particuliers sont régulièrement ciblés par toutes sortes d’attaques, dont celles que nous venons d’étudier. L’internaute a souvent l’illusion d’être noyé dans la masse, alors qu’un certain nombre d’outils rendent possible le suivi très détaillé de son cheminement sur Internet, y compris d’un site à un autre. Ce sont ces outils traqueurs que nous allons étudier dans la troisième partie.

Cookies et traqueurs

Le cheminement des internautes peut être suivi par différents types de traqueurs. Le plus connu et le plus répandu d’entre eux est le cookie, ou témoin de connexion.

Cookies

Définition

Cookie :

Un cookie est un témoin de connexion généré par un site Internet. Ce témoin de connexion peut ensuite être lu et mis à jour par le site émetteur lors de consultations ultérieures, permettant de tracer les internautes de manière individuelle.

Concrètement le cookie est un petit objet proposé par un site lors de sa visite et stocké physiquement par le navigateur sous forme de fichier texte sur la machine de l’internaute. Un cookie peut contenir des informations sur l’internaute, ainsi que sur son cheminement sur le site.

• Le recueil du consentement préalable des internautes est obligatoire pour pouvoir déposer des cookies sur leurs appareils.

Les sites Internet peuvent utiliser des cookies pour différentes raisons : certains cookies sont indispensables au bon fonctionnement des sites, d’autres peuvent être utilisés à des fins statistiques ou à vocation de ciblage publicitaire.

Exemple

Lorsqu’une personne revient sur un site sur lequel elle s’est préalablement inscrite et identifiée, le site peut afficher directement le contenu qui la concerne sans nécessairement l’obliger à repasser par un écran de connexion grâce aux cookies enregistrés par le navigateur.

Ces cookies sont donc nécessaires au bon fonctionnement d’un site. Ils peuvent aussi être employés pour améliorer la performance ou la fonctionnalité des sites. Mais on peut y avoir recours pour effectuer des ciblages publicitaires.

Persistance et origine des cookies

La durée de vie du cookie est fixée par son émetteur, c’est-à-dire par le site web visité par l’internaute. Il existe des cookies volatiles et les cookies persistants.

Un cookie volatile dure seulement le temps d’une session. Il est donc détruit à la fin de la session, contrairement au cookie persistant, dont la durée est définie par son émetteur sous la forme d’une date limite située dans le futur. Le cookie persistant reste stocké sur la machine de l’internaute jusqu’à cette date. Il pourra donc être relu par son émetteur lors d’une connexion ultérieure de l’internaute.

Un cookie n’émane pas nécessairement directement du site visité. Les cookies reçus ou lus en consultant un site Internet donné peuvent provenir d’une multitude de sites. En effet le langage HTML permet d’intégrer sur une même page des ressources situées à différentes adresses. Les sites de mesure d’audience, de régies publicitaires, ou encore de réseaux sociaux proposent aux éditeurs d’intégrer des fonctionnalités aux pages de leur site internet en leur fournissant un code à insérer sur les pages concernées. Ce code peut donc générer ou lire ses propres cookies, appelés cookies tiers car ils ne proviennent pas directement du site visité.

• Les plateformes, leurs codes et les cookies tiers sont placés sur un grand nombre de sites web peuvent suivre les internautes à la trace et reconstituer au moins partiellement leur cheminement.

La désactivation des cookies est souvent présentée comme une solution contre de tels pistages. Appliquée globalement, une telle désactivation risque toutefois d’empêcher le bon fonctionnement de sites légitimes qu’on souhaite consulter. De plus, le pistage d’un internaute reste possible même s’il paramètre son navigateur Internet pour refuser tous les cookies. Il existe en effet d’autres moyens techniques pour tracer son activité.

Traqueurs

Plusieurs méthodes alternatives aux cookies permettent de suivre le cheminement d’un internaute sur un site ou un ensemble de sites.

Le suivi de l’internaute est possible en composant des URL comprenant de longues chaînes de caractères spécifiques pour chaque utilisateur. Il est alors possible de les différencier côté serveur pour générer des sessions individuelles. Toutefois cette approche est moins sécurisée que le recours aux cookies.

Il est également possible de recourir à des mouchards graphiques. Insérés dans le code d’un document HTML, ils permettent de recueillir des informations sur les activités des internautes. Ces mouchards prennent la forme d’un élément graphique de très petite taille, généralement invisible pour l’utilisateur, afin de surveiller la consultation de la ressource.

Enfin, on peut identifier un internaute par la détection de l’empreinte numérique produite par son navigateur Internet. Un identifiant est calculé à partir des différents éléments de sa configuration informatique. Cet identifiant peut permettre l’identification partielle ou totale d’un appareil sur lequel tous les cookies ont été désactivés.

Différentes méthodes sont donc possibles pour suivre les internautes à la trace, avec ou sans cookie. Pour contrôler la confidentialité et la sécurité de la navigation sur Internet, il est conseillé de s’intéresser de près au paramétrage de son navigateur.

Paramétrage du navigateur

Les navigateurs Internet peuvent être employés sans effectuer aucun réglage préalable. Dans ce cas, c’est le paramétrage par défaut effectué par l’éditeur du navigateur qui est appliqué.

Paramétrage par défaut

Le paramétrage par défaut d’un navigateur Internet propose un compromis raisonnable entre sécurité, confidentialité et fonctionnalités.

Les éléments suivants sont généralement permis par défaut :

• l’affichage d’éléments considérés comme sûrs tels que les contenus multimédias,
• l’usage de cookies,
• l’emploi du langage JavaScript.

Les éléments suivants peuvent aussi être activés par défaut selon les navigateurs :

• le blocage de traqueurs inter-sites,
• la détection de sites potentiellement frauduleux.

Certains réglages permettent, outre l’autorisation ou le refus global, la gestion d’exceptions.

Exemple

Il est possible de bloquer par défaut les cookies utilisés pour le pistage, mais également de définir une exception pour un site donné : le blocage généralement appliqué sera alors désactivé uniquement pour certains sites de confiance, expressément autorisés de manière individuelle.

Astuce

Dans tous les cas il est judicieux de consulter le paramétrage du navigateur, et de passer en revue l’ensemble des réglages possibles. Cela permet de prendre connaissance de ce qui est autorisé ou non, et d’effectuer si nécessaire certains réglages de personnalisation.

Les paramètres de navigation

• Cookies

Les navigateurs proposent de consulter la liste des cookies stockés sur l’appareil de l’internaute, et de supprimer individuellement ou globalement les différents cookies présents.

• La consultation régulière des cookies présents sur l’appareil permet de mesurer l’ampleur de leur usage.
• Historique de navigation

Les navigateurs conservent par défaut un historique de navigation, qu’il est possible de désactiver ou de supprimer. Quand il est enregistré, cet historique est consultable par l’internaute. Selon les navigateurs il est possible d’y effectuer des suppressions plus ou moins sélectives. Certains paramétrages permettent aussi de supprimer automatiquement l’historique à la fermeture du navigateur.

• Permissions

Les réglages de permissions visent à autoriser ou interdire certaines actions et à contrôler l’accès à certaines ressources. Il est ainsi possible d’autoriser ou d’interdire :

• l’ouverture de fenêtres surgissantes (également appelées fenêtres pop-up),
• la localisation géographique de l’internaute,
• l’envoi de notifications,
• le lancement automatique de contenus sonores ou vidéos.

Des permissions peuvent aussi être accordées ou refusées pour l’accès à la caméra et au microphone de l’ordinateur.

Sécurité et confidentialité

• Sécurité

Certaines options de sécurité proposent de bloquer des contenus dangereux ou trompeurs, tels que des tentatives d’hameçonnage ou d’installation de logiciels malveillants ou indésirables. Le navigateur se réfère à des listes régulièrement mises à jour de sites répertoriés comme malveillants pour en protéger l’internaute qui active cette protection. Le recours au langage JavaScript peut également être activé ou désactivé selon les besoins.

Des fonctionnalités liées au contenu sont également proposées pour assurer une plus grande confidentialité à l’internaute et le protéger de différentes nuisances. Les navigateurs peuvent ainsi empêcher les dispositifs traqueurs inter-sites de suivre le cheminement de l’internaute sur plusieurs domaines. Ils peuvent aussi bloquer les détecteurs d’empreintes numériques.

Les scripts nuisibles peuvent aussi être détectés et bloqués, notamment les scripts de minage de crypto-monnaies.

Exemple

Au lieu d’utiliser leur propre matériel, les mineurs de crypto-monnaie malhonnêtes conçoivent des pages destinées à attirer les internautes sous différents prétextes. Ces pages dissimulent des scripts de vérification de crypto-monnaie, qui sont alors exécutés sur les appareils des internautes ainsi piégés. Ces scripts gourmands en ressources sollicitent indûment la puissance de calcul de l’appareil de l’internaute à son insu, permettant aux mineurs de crypto-monnaie malhonnêtes d’être rémunérés pour les calculs de vérification effectués.

• Identifiants et mots de passe

Les navigateurs proposent à l’utilisateur d’enregistrer les identifiants et mots de passe des sites web. Il est possible et vivement recommandé d’utiliser aussi un mot de passe principal protégeant l’accès à tous les mots de passe mémorisés par le navigateur.

Attention

On veillera à ne pas laisser un navigateur enregistrer ses identifiants et mots de passe sur un ordinateur partagé avec des tiers ou accessible en libre-service.

• Navigation privée

L’activation d’une fenêtre de navigation privée, également appelée navigation sans trace, permet de naviguer sur Internet sans que le navigateur ne conserve le moindre historique de la navigation ni des recherches effectuées dans ce contexte.

Souvent mal comprise, cette fonctionnalité ne rend en aucune manière l’internaute anonyme, ni pour son fournisseur d’accès, ni pour les sites qu’il visite. Elle revêt uniquement une utilité par rapport à d’autres utilisateurs éventuels du même navigateur sur le même appareil, en ne consignant pas dans l’historique les sites visités et en ne mémorisant pas les recherches effectuées dans ce contexte de navigation privée.

L’importance des mises à jour

Des mises à jour sont régulièrement proposées par les éditeurs des principaux navigateurs Internet. Ces mises à jour peuvent ajouter de nouvelles fonctionnalités au navigateur, mais pas seulement : elles comportent aussi des mises à jour de sécurité destinées à protéger le navigateur contre des failles de sécurité récemment découvertes.

• Il est donc indispensable d’effectuer rapidement et systématiquement les mises à jour.

Les navigateurs Internet proposent généralement de notifier l’utilisateur quand des mises à jour ont été rendues disponibles. Il est également possible et recommandé de paramétrer les navigateurs Internet pour qu’ils gèrent automatiquement les mises à jour.