Il faut deux navigateurs pour être sur Internet

le 04/05/2007 à 00:00
Il faut deux navigateurs pour être sur Internet
Durant son keynote de MySQL Conférence 2007, Rasmus donnait un aperçu des problèmes de sécurité qui infestent le Web actuellement. Après avoir présenté un bug dans le site même de la conférence MySQL, qui devenait alors une conférence PHP, il présentait un autre bug dans un site d'IBM : ironiquement, cette vulnérabilité affectait l'article qui présentait comment se protéger contre les XSS..

Ensuite, il enchaîne avec une autre exploitation des XSS : à l'aide de JavaScript, il est possible de noter la couleur des liens et l'historique des pages visitées. Cela ne donne rien de pratique au pirate, mais il peut maintenant savoir quelle banque vous utilisez, ou quel site vous fréquentez. Si vous avez reçu du spam concernant votre banque, vous avez été piégé.

Au final, Rasmus conseille d'utiliser deux navigateurs... un pour le surf, et l'autre pour ses opérations personnelles. Un conseil intéressant, mais difficile à appliquer.

- Does It Take Two Browsers to Make Surfing Safe ?

A lire également

C'était en août 1995, peu de temps après la commercialisation mondiale de Windows 95, Microsoft lançait, sans trop y croire, MSIE ou Microsoft Internet Explorer. Pour concevoir ce logiciel, Microsoft prend une licence auprès de Spyglass lui permettant de disposer du code source de Mosaic. Et alors même que Microsoft lançait Internet Explorer 1.0, sous la forme d'un logiciel payant intégré au Microsoft Plus Pack pour Windows 95, Bill Gates croyait fermement en un réseau des réseaux fermé et contrôlé par... sa société. La vision d'alors était en effet de créer une sorte de réseau parallèle à l'Internet : le Microsoft Network qui devint rapidement MSN. Si bien d'ailleurs que la première version du logiciel d'accès au Microsoft Network ne permettait en aucune manière la consultation de sites en HTML. Une particularité que la version 1.3 du client MSN corrigera bien vite histoire de séduire d'éventuels abonnés.

Rudimentaire, Internet Explorer 1.0 faisait sourire : le navigateur ne faisait rien d'autre que d'afficher du texte. A l'époque Netscape tenait le haut du pavé avec son Navigator tandis qu'AOL et CompuServe se taillaient tous deux la part du lion dans un marché des fournisseurs d'accès Internet encore très américain. Rapidement l'équipe initiale de développement constituée pour Internet Explorer se met au travail et enrichit le navigateur. Quelques semaines seulement après la sortie d'Internet Explorer 1.0, Microsoft propose Internet Explorer 2.0 : nous sommes en novembre 1995. Et à l'époque cette version est déjà assez importante puisqu'elle ajoute la prise en charge des cookies, le protocole SSL et la gestion des groupes de discussion. De plus, Microsoft la décline pour Windows 3.1 et pour le Macintosh ! Mais pour en profiter il faut l'acheter... avec le Microsoft Internet Starter Kit.

Malgré ces efforts, Internet Explorer 2.0 ne convainc guère et Netscape demeure la référence. Il faut attendre la version 3.0 d'Internet Explorer pour profiter d'un navigateur enfin au niveau de ses concurrents de l'époque. Lancé en 1996, au mois d'août, Internet Explorer 3.0 profite pour la première fois du logo bleu en forme de e, ajoute la gestion des CSS, inaugure les contrôles ActiveX, se dote de VBScript en plus de supporter les applets Java (entre autres) et peut même afficher images JPG et GIF ! La version 3.0 marque un tournant dans l'histoire du navigateur puisqu'avec elle nombre d'utilisateurs commencent à se détourner de Netscape. C'est aussi avec Internet Explorer 3.0, disponible gratuitement au téléchargement ou sur CD, que Microsoft s'engage sur une pente... dangereuse. Internet Explorer 3.0 est rapidement intégré à Windows 95 via la célèbre mise à jour OSR2 ou OEM Service Release 2, une version à l'époque destinée aux seuls fabricants d'ordinateurs. Précisons qu'avec Internet Explorer 3.0, Microsoft inaugure également deux logiciels Internet Mail et Internet News, l'un pour lire ses mails, l'autre pour consulter les groupes de discussion.

L'irréparable est commis avec Internet Explorer 4.0 : un véritable bond en avant pour Microsoft, qui relègue Netscape au rang de dinosaure alors que le navigateur se dote du DHTML et est imbriqué dans Windows... 98. Une pratique qui fera bondir la part de marché du navigateur de moins de 20% en 1997 à... 60% en 1999 et qui vaudra à Microsoft ses démélés avec le département de la justice américain pour abus de position dominante. L'affaire trouvera son épilogue en 2001 avec un accord... pour le moins favorable à Microsoft.

Mais revenons en au navigateur. Avec Internet Explorer 4.0, Microsoft fait le choix de coupler ses technologies et d'utiliser le tout nouveau moteur de rendu d'Internet Explorer, Trident, pour le fonctionnement quotidien de Windows : l'explorateur Windows affiche des liens hypertexte et devient une fenêtre Internet. Lancé en septembre 1997, Internet Explorer 4.0 inaugure également le funeste concept de l'Active Desktop. Non seulement l'explorateur Windows est un navigateur Internet, mais le bureau aussi. A la place du fond d'écran on peut afficher tout un tas d'informations : cours de la bourse, flux d'informations, etc. Seulement voilà, l'Active Desktop, encore présent des années plus tard dans Windows 2000... n'est pas stable et a la fâcheuse habitude de faire planter le système. A tel point qu'en cas de plantage, Microsoft implémente une page type avec un lien... pour redémarrer Active Desktop. Internet Explorer 4.0 c'est aussi l'apparition des chaînes de contenu car à l'époque la mode est au "push" : on ne va plus chercher l'information, elle vient à vous. Le concept fera long feu et dès la version suivante, les chaînes de contenu disparaissent. Internet Explorer 4.0 est également accompagné d'Outlook Express, qui remplace avantageusement les logiciels Internet Mail et Internet News, alors que l'on voit apparaître Microsoft Chat, un logiciel mémorable permettant de clavarder avec en option des avatars animés. A noter que le moteur de rendu Trident inauguré avec Internet Explorer 4.0 est aujourd'hui... encore utilisé par Microsoft, y compris dans Internet Explorer 8.0 et le prochain Internet Explorer 9.0.

En mars 1999, Microsoft propose Internet Explorer 5.0, une version améliorée, plus stable, avec le support de nouvelles technologies comme le XML. Cette version sera intégrée à Windows 98 Deuxième Edition et accompagnera la suite Office 2000. Car à l'époque, Microsoft nous explique qu'Internet Explorer est le complément idéal de sa suite bureautique. A l'époque, la plus grande nouveauté utilisateur d'Internet Explorer 5.0 est sans doute à chercher du côté de son client de messagerie, Outlook Express qui est singulièrement novateur, pour l'époque. Il n'évoluera d'ailleurs quasiment plus jusqu'au lancement de Windows 7 ! Le client de messagerie inclus dans Windows Vista, Windows Mail n'est qu'un simple Outlook Express très légèrement amélioré par rapport à la version 5.0. Puis vient Internet Explorer 5.01 alors que le monde découvre les failles de sécurité dans les navigateurs Internet. Et Microsoft de mettre en place des mises à jour, initialement diffusées au besoin et sans fanfare ni documentation détaillée. S'en suit Internet Explorer 5.5, une version mineure qui apportera quelques toutes petites nouveautés pour les développeurs et pour l'utilisateur l'aperçu avant impression. Internet Explorer 5.5 sera inclus dans Windows Me, et distribué sous forme de téléchargement pour les autres versions de Windows. Internet Explorer 5.5 se distinguera également par sa prise en charge du SSL 128 bits. Ca tombe bien, la France vient de légaliser la chose ! En effet jusqu'alors le gouvernement français interdisait tout algorithme de cryptage supérieur à 40 bits, de peur que cela permette à des organisations criminelles de communiquer entre elles sans aucun moyen pour les autorités de déchiffrer leurs conversations. Enfin, c'est aussi la première version d'Internet Explorer qui ne sera plus proposé pour le Macintosh. Internet Explorer dans sa version 5.0 sera donc l'ultime version du navigateur de Microsoft sur la plate-forme de la firme à la pomme.

2001 : l'année de Windows XP et de la sortie d'Internet Explorer 6.0 au mois d'août. Disponible pour Windows XP et Windows 2000 notamment, Internet Explorer 6.0 a vu son cahier des charges largement revisités pendant son développement. Sous le coup d'une enquête du département de la justice américain pour abus de position de dominante, Microsoft doit faire une croix sur l'une des fonctionnalités utilisateur les plus prometteuses d'Internet Explorer 6.0 : les smart tags. Il s'agissait de proposer des liens intelligents se greffant sur certains mots du contenu Web pour par exemple renvoyer l'utilisateur vers un plan lorsqu'une adresse s'affiche. Sous la pression, Microsoft retire cette fonctionnalité, les concurrents de l'éditeur étant particulièrement irrités par l'usage que pourrait faire l'éditeur d'une telle fonction. En revanche, pas question de pouvoir désinstaller Internet Explorer 6.0 : il est toujours au coeur de Windows. Reste à Internet Explorer 6.0 la barre de média permettant la lecture de ses radios et MP3 depuis le navigateur, l'intégration de Windows Messenger, pour voir ses contacts connectés sans quitter le navigateur et Outlook Express 6. Quelques technologies de rendu font leur apparition pour les développeurs, alors que Microsoft propose le standard P3P permettant une gestion plus fine des cookies : il est pour la première fois possible de supprimer les cookies depuis Internet Explorer. Internet Explorer 6.0 sera la dernière version du navigateur de Microsoft a prendre en charge Windows 98, Windows 98 SE et Windows Me.

De 2001 à 2006 c'est la traversée du désert. Internet Explorer 6.0 n'évolue pas et Microsoft illustre avec son seul navigateur Internet ce qu'est le risque d'un acteur en situation de monopole : pourquoi faire évoluer un navigateur alors qu'il n'y a aucun concurrent ? Et non, nous ne considérons toujours pas les Service Pack 1 et Service Pack 2 d'Internet Explorer 6.0 comme des évolutions. Tout au plus s'agit-il pour le premier d'une collection de correctifs de sécurité alors que le second tente de remédier aux lacunes en matière de sécurité du navigateur sans revoir le coeur du problème : la conception du navigateur ! Cinq années d'immobilisme.... une éternité dans un monde en perpétuelle ébullition comme celui du web. Mais c'est aussi l'occasion pour des initiatives tierces de voir le jour : on pense bien sûr à celui que l'on connaît désormais sous le nom de Firefox de la fondation Mozilla.

Octobre 2006 : après de trop longues années, Microsoft s'est remis au travail parallèlement au développement de Windows Vista et propose Internet Explorer 7.0, une version dépoussiérée du navigateur et disponible pour Windows XP et intégrée à Windows Vista. Techniquement, le moteur d'Internet Explorer 7.0 évolue doucement pour mieux respecter les standards du Web, des standards piétinés par Internet Explorer 6.0 et son DHTML. Mais la tâche est tellement grande, que dès le début les équipes de Microsoft font savoir qu'Internet Explorer 7.0 sera au mieux une étape vers un navigateur plus ouvert sur des standards non définis par Microsoft. Pour l'utilisateur, Internet Explorer 7.0 est la première version à offrir la navigation par onglets alors que le navigateur se dote d'un lecteur de flux RSS ! Deux nouveautés que l'on n'espérait plus. S'il fallait pour installer Internet Explorer 7.0 sur son PC que la version de Windows soit validée comme authentique, et donc non piratée, Microsoft changera son fusil d'épaule quelques mois après la sortie du navigateur pour faire en sorte que tout le monde puisse l'installer.

Mars 2009 : trois ans après, Microsoft nous propose Internet Explorer 8.0, une version dont le moteur de rendu subit un nombre assez important de changements. A tel point qu'un nouveau mode d'affichage des pages web apparaît le monde d'affichage compatible qui rebascule sur le moteur d'Internet Explorer 7.0 pour des sites qui s'afficheraient mal car conçus et optimisés pour les versions antérieures d'Internet Explorer ! Quel aveu ! Disponible pour Windows XP, Windows Vista et Windows 7 notamment, Internet Explorer 8.0 propose comme nouveauté fonctionnelle majeure les accélérateurs, sorte de remise au goût du jour des smart tags avortés d'Internet Explorer 6.0. On retrouve également un mode de navigation privé, qui ne garde aucune trace des actions de l'utilisateur tandis que le logiciel passe pour la première fois le fameux test Acid2... mais pas le 3 !

2011 : Microsoft devrait publier la version finale d'Internet Explorer 9.0 au premier trimestre 2011... si tout va bien. En développement à l'heure où nous écrivons ces lignes, Internet Explorer 9.0 suit la trajectoire entamée avec l'ère post Internet Explorer 6.0 : un moteur de rendu respectueux des standards avec prise en charge CSS3, HTML5, intégration d'un nouveau moteur Javascript et pour la première fois une accélération matérielle par la puce graphique du rendu des éléments d'une page Web.

Reste que dans un domaine où la réactivité prime, et quand Google annonce vouloir accélérer encore le rythme de développement de son navigateur Chrome les cycles de développement des nouvelles versions d'Internet Explorer sont bien trop lents. L'éditeur a perdu un temps considérable entre 2001 et 2006 alors qu'aujourd'hui encore la présence d'Internet Explorer 6.0 sur un grand nombre de postes dans des entreprises l'empêche d'avancer sereinement et de tourner la page. La firme de Bill Gates risque de payer encore très longtemps ses errements ou son entêtement en la matière.
Sept experts en sécurité informatique viennent de publier les résultats de leur dernière étude au sujet de la vulnérabilité partielle du protocole "HTTPS" utilisé entre autres pour finaliser les transactions financières sur des sites de e-commerce ou pour accéder à son compte bancaire en ligne.

Plus précisément, ce sont 200 consoles Playstation 3 de Sony qui ont été reliées entre elles pour cumuler leur puissance brute (on parle de cluster) dans le but de mettre en évidence la faiblesse de l'algorithme de chiffrement MD5 (fonction qui permet d'avoir une empreinte numérique d'un fichier) pour créer un certificat SSL.

En exploitant donc un procédé, connu, de collision MD5 - qui part du principe qu'il est possible d'avoir une même signature pour deux valeurs différentes -, ces chercheurs ont mis en évidence la possibilité de créer de faux certificats SSL, pouvant berner la plupart des navigateurs web récents en faisant croire aux internautes que le site visité est sécurisé. De quoi permettre aux hackers de mettre au point des méthodes de hameçonnage (phishing) quasiment indétectables, voire de créer des applications Java pour prendre le contrôle à distance d'un ordinateur...

Mais avant de remettre en cause tout le procédé technique visant à valider les certificats SSL lors de l'affichage d'une page web dite sécurisée, il faut noter que cette faille de sécurité, inhérente à l'algorithme de chiffrement MD5, touche encore aujourd'hui de nombreuses autorités de certification (entité qui gère des certificats numériques pour une utilisation par des tiers). Et ce malgré le fait que cet algorithme est depuis de nombreuses années déjà potentiellement "cassable". Différentes autorités de certification procèdent donc à des opérations de signatures basées sur le MD5. Il est possible de citer entre autres RapidSSL, FreeSSL, TrustCenter, RSA Data Security, Thawte ou encore verisign.co.jp. Un algorithme de chiffrement plus récent, SHA-2/SHA-3, est dores et déjà disponible mais pas encore utilisé par toutes les autorités de certification évoluant sur Internet.

"Nous venons de casser le SSL", aurait déclaré l'un des experts en sécurité informatique lors d'une présentation de sa trouvaille au salon "25C3". "Le résultat de notre étude montre que nous sommes en possession de certificats 'maître' en provenance des autorités de certification. Cela nous fait passer comme une source sûre et valide pour de nombreux navigateurs web. En conséquence de quoi, les sites web que nous certifions ensuite seront également jugés comme sécurisés. Les navigateurs web afficheront alors une icône 'site sécurisé' en plus d'une adresse qui commence par https://", précise-t-il enfin.

Pour palier cette faille de sécurité, les experts conseillent aux autorités de certification et aux éditeurs de navigateurs web d'arrêter d'utiliser des certificats signés avec le MD5 et de migrer progressivement vers des alternatives plus robustes basées sur le standard SHA-2 ou sur son alternative encore plus sécurisée, le SHA-3.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours