Testez la sécurité de votre navigateur pour les vulnérabilités

Exactement la sécurité de votre navigateur?


Combien d’informations peuvent être extraites de votre profil de navigation en ligne?

Pourquoi semblez-vous voir des annonces liées à des choses que vous avez recherchées, récemment achetées ou lues?

Quel est le coût d’une exposition complète de votre profil?

Comment pouvez-vous mieux protéger votre vie privée en ligne?

Ce sont ces questions et bien d’autres qui permettront à cet article de vous aider à répondre et à proposer des moyens de mieux protéger votre vie privée en ligne..

Il est important de noter que les entreprises qui fabriquent les navigateurs que nous utilisons le plus souvent, comme Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, etc. Essayez autant que possible de protéger les utilisateurs et leurs informations personnelles lors de l’utilisation de ces produits. Par conséquent, cet article ne vise pas à saper ces efforts, mais à vous aider, l’utilisateur à faire des choix éclairés lors de l’utilisation de ces navigateurs et d’autres navigateurs pour diverses activités..

Internet est notre porte d’entrée dans le monde, pour nous aider à atteindre virtuellement n’importe où pour l’information, le commerce, les affaires, la communication et tous les autres besoins et nécessités. D’où la nécessité de nous sécuriser comme nous le ferions normalement dans le monde réel, car tout le monde sur Internet n’a pas d’intentions honnêtes.

Bien que vous puissiez avoir des antivirus sur votre ordinateur, qui bloquent toutes sortes de logiciels malveillants, votre navigateur peut également être vulnérable. Examinons en profondeur certaines vulnérabilités possibles.

XSS (Cross-Site Scripting)

Les scripts intersites peuvent simplement être décrits comme une injection de code (généralement, du code Javascript). Le but de ce type d’attaque est de compromettre la sécurité d’une application web via le client (principalement via les navigateurs). Les attaquants visent à utiliser ce type d’attaque pour exploiter des validations faibles et un manque de politique de sécurité du contenu (CSP) sur certaines applications Web.

Il existe différents types de XSS; regardons de plus près ce qu’ils sont et comment ils peuvent être utilisés.

XSS réfléchi

Il s’agit d’un type de XSS très courant utilisé pour travailler avec le côté client d’une application. Le code injecté ici n’est pas conservé dans la base de données, mais devrait provoquer une réponse du côté client de l’application. D’où le nom «reflété». Cette attaque fonctionne avec succès dans le cas où l’application prend en entrée l’utilisateur et renvoie cette entrée après un certain traitement sans l’enregistrer dans la base de données. Un exemple courant est un forum de discussion miniature, où les messages ne sont pas conservés dans la base de données. Dans de tels cas, l’application prend les entrées utilisateur et les sort au format HTML. Un attaquant pourrait entrer un script malveillant dans ce forum de discussion, comme changer la conception ou les couleurs de l’application en entrant du CSS dans les balises de script.

Cela pourrait s’aggraver pour les autres utilisateurs de l’application, car le script sera essentiellement exécuté sur leur navigateur, ce qui pourrait entraîner un vol d’informations, comme le vol de vos informations de saisie automatique enregistrées sur le navigateur. De nombreux utilisateurs préfèrent enregistrer des informations typées sur des formulaires tels que les noms, les adresses et les informations de carte de crédit, ce qui, dans ce cas, est une mauvaise idée.

DOM XSS

DOM – Document Object Model, est l’interface de programmation qui interprète le HTML (ou XML) utilisé sur les pages Web et définit ainsi la structure logique de cette page Web particulière. Ce type de XSS exploite une application Web avec du code javascript non sécurisé dans le balisage qui compose la page Web. XSS utilisé ici peut être utilisé pour modifier directement le DOM. Cela pourrait être utilisé pour modifier presque n’importe quelle partie de la page Web avec laquelle l’utilisateur interagit, ce qui pourrait entraîner un phishing.

XSS stocké

Il s’agit d’un type de XSS où le code malveillant est non seulement renvoyé à l’utilisateur mais également persisté (stocké) dans la base de données du serveur Web sur lequel l’application Web est hébergée. Ce type de XSS est encore plus dangereux car il peut être réutilisé pour attaquer plusieurs victimes car il est stocké (pour une utilisation ultérieure). Cela peut être le cas lorsque les soumissions de formulaires par les utilisateurs ne sont pas bien validées avant d’être envoyées à la base de données.

Généralement, XSS peut être de n’importe quel type en combinaison; une seule attaque pourrait se refléter et persister. Les techniques employées pour exécuter l’attaque peuvent également varier mais contiennent des points communs avec celles mentionnées ci-dessus.

Certains principaux navigateurs, comme Chrome et Edge en tant que fonctionnalité de sécurité, ont développé leurs propres protocoles de sécurité client pour éviter les attaques XSS appelées X-XSS-Protection. Chrome avait l’auditeur XSS, qui a été introduit en 2010 pour détecter les attaques XSS et empêcher le chargement de ces pages Web lorsqu’elles sont détectées. Cependant, cela a été jugé moins utile que prévu initialement et a ensuite été supprimé après que les chercheurs ont remarqué des incohérences dans ses résultats et des cas de sélection de faux positifs..

Les attaques XSS sont un défi difficile à relever du côté client. Le navigateur Edge avait également le filtre XSS, qui a ensuite été retiré. Pour Firefox, le, comme le site Web MDN (Mozilla Developer Network) l’a,

Firefox n’a pas mis en œuvre et ne mettra pas en œuvre la protection X-XSS

Suivi tiers

Une autre partie importante de l’établissement de votre confidentialité en ligne est d’être averti des cookies de suivi tiers. Les cookies sont généralement considérés comme bons sur le Web car ils sont utilisés par les sites Web pour identifier de manière unique les utilisateurs et pour pouvoir personnaliser l’expérience de navigation de l’utilisateur en conséquence. C’est le cas des sites de commerce électronique où ils utilisent des cookies pour conserver votre session de shopping et également conserver les articles que vous avez ajoutés au panier. Ces types de cookies sont appelés cookies propriétaires. Ainsi, lorsque vous naviguez sur des sites sur geekflare.com, les cookies utilisés par geekflare.com sont des cookies propriétaires (les bons).

Il y a aussi peu de cas de cookies de seconde partie, où les sites Web proposent (ou vendent) leurs cookies de première partie à un autre site pour diffuser des annonces à l’utilisateur. Dans ce cas, les cookies pourraient être considérés comme de seconde partie. Les cookies tiers sont les cookies générés par de grandes publicités qui sont utilisés pour le suivi intersite et la publicité ciblée.

Ce sont des cookies placés sur les navigateurs des utilisateurs à l’insu ou sans le consentement de l’utilisateur pour obtenir des informations sur l’utilisateur et toutes sortes de profils de données, comme les sites Web que l’utilisateur visite, les recherches, le FAI (fournisseur de services Internet) que l’utilisateur utilise, les spécifications de l’ordinateur portable , la force de la batterie, etc. Ces informations sont utilisées pour former un profil de données Internet autour de l’utilisateur, de sorte qu’il peut être utilisé pour des publicités ciblées. Les attaquants qui volent ce type d’informations effectuent généralement un type d’exploration de données et peuvent vendre ces données à de grands réseaux publicitaires..

Firefox, en septembre 2019, a annoncé qu’il bloquerait par défaut les cookies de suivi tiers sur le navigateur de bureau et mobile. L’équipe a appelé cela une protection de suivi améliorée, qui est indiquée dans la barre d’adresse du navigateur avec une icône de bouclier.

Le navigateur Safari des appareils Apple empêche également les cookies tiers de suivre leurs utilisateurs sur le Web.

Sur Chrome, les cookies de suivi tiers ne sont pas bloqués par défaut. Pour activer cette fonctionnalité, cliquez sur les trois points verticaux dans le coin supérieur droit de la fenêtre du navigateur pour afficher une liste déroulante, puis cliquez sur paramètres, sur l’onglet paramètres, à gauche, cliquez sur confidentialité et sécurité, puis cliquez sur paramètres du site, puis cliquez sur les cookies et les données du site, puis basculez l’option qui lit Bloquer les cookies tiers.

Cryptominers

Certains sites Web sur Internet contiennent un script d’extraction de chiffrement, soit par le propriétaire du site Web, soit par un tiers. Ces scripts permettent à l’attaquant d’utiliser les ressources informatiques de la victime pour exploiter des crypto-monnaies.

Bien que certains propriétaires de sites Web le fassent comme moyen de financement, généralement lorsqu’ils fournissent des services gratuits et soutiennent que c’est un petit prix à payer pour les services qu’ils offrent. Ces ensembles de sites Web laissent généralement des messages pour que l’utilisateur soit conscient du coût d’utilisation de son service. Cependant, de nombreux autres sites Web le font sans en informer l’utilisateur. Ce qui pourrait conduire à une utilisation sérieuse des ressources PC. Par conséquent, il est important de bloquer ces choses.

Certains navigateurs ont des utilitaires intégrés pour bloquer de tels scripts tels que Firefox, qui a un paramètre pour bloquer les cryptomineurs sur le Web et sur les mobiles. De même l’opéra. Pour Chrome et Safari, des extensions doivent être installées sur votre navigateur pour obtenir le même.

Empreinte digitale du navigateur

Comme défini sur Wikipédia,

UNE empreinte digitale de l’appareil ou empreinte digitale de la machine sont des informations collectées sur le logiciel et le matériel d’un appareil informatique à distance à des fins d’identification.

Une empreinte digitale de navigateur est une information d’empreinte digitale collectée via le navigateur de l’utilisateur. Le navigateur d’un utilisateur peut en fait fournir de nombreuses informations sur l’appareil utilisé. Différents exploits sont utilisés ici, même les balises html5 “ sont connues pour être utilisées pour les empreintes digitales. Des informations telles que les spécifications de l’appareil telles que la taille de la mémoire de l’appareil, l’autonomie de la batterie de l’appareil, les spécifications du processeur, etc. Une information d’empreinte digitale peut également révéler la véritable adresse IP et la géolocalisation d’un utilisateur.

Certains utilisateurs ont tendance à penser que l’utilisation du mode navigation privée sur les navigateurs protège des empreintes digitales, mais ce n’est pas le cas. Le mode privé ou incognito n’est pas vraiment privé; il n’enregistre que les cookies ou l’historique de navigation localement sur le navigateur; cependant, ces informations seraient toujours enregistrées sur le site Web visité. Par conséquent, les empreintes digitales sont toujours possibles sur un tel appareil.

Fuites Web RTC

Web RTC (communication en temps réel). Web RTC est venu comme une percée pour la communication en temps réel sur le Web. Selon le Site Web RTC.

Avec WebRTC, vous pouvez ajouter des capacités de communication en temps réel à votre application qui fonctionne en plus d’une norme ouverte. Il prend en charge les données vidéo, vocales et génériques à envoyer entre pairs, permettant aux développeurs de créer de puissantes solutions de communication vocale et vidéo.

Aussi intéressant soit-il, en 2015, un utilisateur de GitHub (“ diafygi ”) a publié pour la première fois une vulnérabilité dans Web RTC qui révèle plusieurs informations sur un utilisateur, telles que l’adresse IP locale, l’adresse IP publique, les capacités multimédias de l’appareil (comme un microphone, caméra, etc.).

Il a pu le faire en faisant ce que l’on appelle des requêtes STUN au navigateur pour divulguer ces informations. Il a publié ses conclusions ici -> https://github.com/diafygi/webrtc-ips.

Depuis lors, le navigateur a mis en place de meilleures fonctionnalités de sécurité pour se protéger contre cela; cependant, l’exploit a également été amélioré au fil des ans. Cet exploit est toujours d’actualité. En exécutant des audits de sécurité simples, un utilisateur serait en mesure de voir combien d’informations peuvent être obtenues à partir d’une fuite d’informations Web RTC.

Sur Chrome, certaines extensions peuvent être installées pour offrir une protection contre les fuites RTC. De même sur Firefox avec des addons. Safari a une option pour désactiver Web RTC; cependant, cela peut avoir un impact sur l’utilisation de certaines applications Web de chat en temps réel sur le navigateur.

Parcourir un proxy

Les proxys Web gratuits semblent vous aider à obtenir une meilleure confidentialité en faisant rebondir votre trafic Web sur des serveurs «anonymes». Certains experts en sécurité s’inquiètent du degré de confidentialité que cela offre. Les procurations peuvent protéger un utilisateur de l’Internet ouvert mais pas des serveurs sur lesquels le trafic Internet passe. Par conséquent, l’utilisation d’un proxy Web «gratuit» malveillant conçu pour collecter les données des utilisateurs pourrait être une recette pour un désastre. Utilisez plutôt un proxy premium.

Comment tester la sécurité du navigateur?

Les tests du navigateur vous donnent un aperçu de la quantité d’informations qu’un attaquant pourrait tirer de vous via le navigateur et de ce que vous devez faire pour rester protégé.

Navigateur Qualys

BrowserCheck by Qualys vérifie rapidement sur votre navigateur les cookies de suivi et les vulnérabilités connues.

Cloudflare ESNI Checker

Cloudflare vérifie rapidement les vulnérabilités DNS et TLS de votre navigateur.

Analyseur de confidentialité

Analyseur de confidentialité analyse votre navigateur pour détecter tout type de failles de confidentialité, y compris l’analyse des empreintes digitales.

Panopticlick

Panopticlick propose de tester les cookies de suivi tiers et propose également une extension chrome pour bloquer tout suivi ultérieur.

Webkay

Webkay fournit une vue rapide des informations que votre navigateur donne facilement.

Compatibilité SSL / TLS

Vérifier si votre navigateur est vulnérable aux vulnérabilités TLS.

Comment est mon SSL?

Tout autour Vérifications du niveau SSL sur votre navigateur. Il teste la compression TLS, les suites de chiffrement, la prise en charge des tickets de session, etc..

AmIUnique

Es-tu?

AmIUnique vérifie si l’empreinte digitale de votre navigateur a été dans une empreinte digitale précédemment collectée dans le monde.

Comment durcir les navigateurs?

Vous devez être plus proactif avec leur confidentialité et leur sécurité, d’où la nécessité de s’assurer du paramètre de sécurité disponible sur le navigateur. Chaque navigateur a des paramètres de confidentialité et de sécurité, ce qui permet à l’utilisateur de contrôler les informations qu’il peut donner aux sites Web. Voici quelques conseils sur les paramètres de confidentialité à définir dans votre navigateur.

  • Envoyer des demandes «Ne pas suivre» aux sites Web
  • Bloquer tous les cookies tiers
  • Désactiver ActiveX et flash
  • Supprimez tous les plugins et extensions inutiles
  • Installer des extensions ou addons de confidentialité.

Utilisez un navigateur axé sur la confidentialité sur mobile ou sur ordinateur.

Vous pouvez également envisager d’utiliser un VPN premium, qui offre une invisibilité sur Internet à partir des trackers, des scanners et de toutes sortes d’enregistreurs d’informations. Pour être vraiment privé sur Internet, c’est avec un VPN. Les services VPN «gratuits», cependant, ont des problèmes similaires discutés ci-dessus sur les proxys gratuits, vous n’êtes jamais sûr du serveur Web que vous trafiquez. D’où la nécessité d’un service VPN fiable, qui offrira une bien meilleure sécurité.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map