Pourquoi la sécurité du navigateur devrait-elle être priorisée?

Tous les sites Web que vous visitez n'ont pas de certificats. Vous ne pouvez pas sentir les sites Web louche. Le certificat ne signifie pas que le site n'essaie pas de vous pirater.

Le navigateur est le plus grand vecteur d'attaque contre votre ordinateur. Il aura tendance à exécuter au moins du code JavaScript non vérifié, et Dieu sait quoi d'autre. Il traite en permanence les données provenant de sources non fiables.

Chacune de vos déclarations fait ici une fausse hypothèse:

La plupart des sites Web que je visite ont un certificat SSL.

C'est très bien, mais SSL/TLS ne vous protège que contre certains types d'attaques.

À peu près, un site possédant un certificat TLS (valide) signifie simplement que le propriétaire de ce site Web a en quelque sorte prouvé la propriété du nom de domaine utilisé pour accéder au site, dépensant éventuellement une très grande somme d'argent pour le faire ( ou peut-être n'en dépenser aucun). Habituellement, cela signifie que vous pouvez avoir confiance que le site est ce qu'ils prétendent être, à l'exception de l'usurpation de domaine (que je couvrirai en réponse à votre troisième point). Cependant, cela peut ne pas signifier cela (voir par exemple le fiasco qui a fait que tout ce qui a été émis par Symantec a été révoqué/non approuvé plus tôt cette année). Ainsi, un certificat TLS vérifie vraiment juste la propriété du site, pas que le site est légitime ou qu'ils font ce qu'ils disent être.

Les certificats TLS offrent un avantage de protection supplémentaire, ils vous permettent d'utiliser HTTPS. HTTPS fournit exactement deux types de protection s'il est utilisé correctement :

• Il fournit un niveau de confiance raisonnablement élevé que les données que vous recevez sont les mêmes que celles envoyées par le serveur Web. Ceci est important pour vous assurer que rien n'a été ajouté ou supprimé du site par un tiers pendant qu'il était en transit vers vous.
• Il fournit un niveau de confiance raisonnablement élevé que les données que vous transférez ne sont pas visibles en transit à des tiers. C'est la raison pour laquelle il est si important de s'assurer que tout site auquel vous fournissez un mot de passe ou des données personnelles utilise HTTPS.

Cela vous laisse toujours ouvert à de nombreuses attaques. Le plus évident est que le serveur Web soit piraté (ou le CDN s'il en utilise un). Il y en a aussi d'autres, comme les attaques XSS, les publicités malveillantes (pensez à tous les sites parfaitement légitimes qui ont des redirections automatiques cachées vers des sites malveillants en raison des publicités qu'ils utilisent), et les attaques sur TLS lui-même (de telles attaques sont la raison pour laquelle aucun sensé L'opérateur utilise toujours SSLv2 ou SSLv3, les deux sont connus cassés). Ainsi, HTTPS/TLS/SSL n'est pas en soi une protection rigoureuse.

En outre, comme vous l'avez dit vous-même, la plupart des sites Web que vous visitez utilisent TLS, pas tous. Réfléchissez très à la question de savoir si vous devez vraiment faire confiance aux autres sites qui ne l'utilisent pas, s'ils ne sont pas prêts à prendre les cinq minutes pour définir leurs serveurs avec des certificats gratuits de LetsEncrypt, sur quels autres aspects de la sécurité sont-ils coupés?

La plupart d'entre eux sont soit assez grands pour que je puisse croire qu'ils ne peuvent pas être piratés, soit assez petits pour que je ne pense pas que ce soit rentable pour les pirates.

N'avez-vous pas regardé de nouvelles au cours de la dernière décennie? Juste en termes de divulgations publiques , il existe des dizaines d'attaques connues sur des sites avec bien plus de 100 millions utilisateurs (c'est un gros site selon la plupart des gens, car 100 millions représentent plus de 1% de la population mondiale, et probablement plus près de 3-4% du nombre total de personnes sur Internet). Je suggère de jeter un œil à la liste des violations publiques sur Have I Been Pwned? , il y a pas mal de grands noms là-bas, y compris ceux qui gèrent très données sensibles (Experian par exemple). Donc, non, il n'est pas réaliste de s'attendre à ce que quelque chose soit "trop gros pour être piraté". En fait, les grands sites sont parmi les cibles les plus attrayantes pour les attaquants, car ils ont beaucoup d'utilisateurs. Ils ont également des antécédents notoirement mauvais en matière de divulgation publique de violations de sécurité (ils sont plus incités à ne pas le faire, car ils ont plus de clients potentiels à perdre).

D'un autre côté, les petits sites sont des cibles faciles , même s'ils ne sont pas attrayants. Si vous considérez les grands sites comme des investissements à haut risque pour les pirates, les petits sont des investissements à faible risque. Ils ne donnent peut-être pas autant en termes de rendements, mais ils donnent souvent des rendements beaucoup plus cohérents, ce sont donc des cibles attrayantes.

En outre, considérez que les attaquants ciblent assez souvent les logiciels qui sont vulnérables, pas nécessairement des sites spécifiques. WordPress est un bon exemple, car il est utilisé sur des sites grands et petits, et il a été utilisé avec succès plusieurs fois dans le passé comme vecteur d'attaque.

Je peux sentir des sites Web louche

Tout d'abord, ce n'est pas parce qu'un site n'est pas "louche" qu'il ne constitue pas une menace. Il existe également un certain nombre de sites légitimes qui semblent "louche" selon les définitions de nombreuses personnes.

Deuxièmement, il n'est pas difficile de copier un site légitime mais de faire des choses illégitimes avec le résultat. L'usurpation de domaine, sous ses diverses formes, est souvent utilisée pour cela. Il y a quelque temps, un bon article de blog sur un grand site infosec (que je ne peux malheureusement pas trouver en ce moment, sinon je le lierais ici) le démontrait avec Apple.com.

Comme exemple du type de chose que vous devez rechercher mais que vous ne pouvez probablement pas repérer, pouvez-vous faire la différence entre uv et υν? Non, ce n'est pas une question piège, la première est les lettres latines minuscules "u" et "v", tandis que la seconde est les lettres grecques minuscules upsilon et nu. Dans la plupart des polices sans empattement (comme celles utilisées par presque tous les navigateurs dans la barre d'adresse et la police par défaut sur la plupart des sous-sites SE), ces deux paires de caractères sont presque indiscernables. Même dans de nombreuses polices serif, elles sont difficiles à distinguer pour la plupart des gens. De même, АВ est en fait une paire de caractères cyrilliques, pas latins, et encore une fois ne se distingue pas du latin 'AB' dans la plupart des polices. Les deux cas illustrent des exemples de `` bitsquatting '', une technique par laquelle les attaquants profitent de la similitude de différents personnages semblant similaires ou identiques pour inciter les gens à suivre leurs liens en les faisant ressembler à des liens vers des sites Web légitimes.

À peu près, ne supposez pas que vous serez en mesure de reconnaître un site qui constitue une menace jusqu'à ce qu'il soit trop tard.

Puisque personne ne l'a encore souligné:

Le logiciel antivirus est beaucoup moins utile que vous ne le pensez. En fait, si vous demandez aux professionnels de la sécurité, la principale recommandation pour rester en sécurité sera de mettre à jour tous vos logiciels, au-dessus de la recommandation d'exécuter un antivirus - donc exactement ce que vous prévoyez pas de faire.

Pourquoi? Tout ce que fait un logiciel antivirus, c'est d'arrêter les anciennes pandémies connues. Cependant, la plupart des attaques généralisées réussies créent simplement de nouveaux virus et utilisent la fenêtre de temps jusqu'à ce que le logiciel antivirus soit mis à jour pour se propager. Le logiciel antivirus n'est pas une solution miracle, il ne détecte que ce qu'il sait (il existe une détection de comportement mais il n'est très efficace pour aucun des logiciels AV disponibles), donc contre les nouvelles attaques, cela n'aide qu'à avoir moins d'opportunités d'intrusion. Et de loin l'opportunité d'intrusion la moins chère pour les attaquants est un navigateur obsolète ou un système central.

Alors oui, il est essentiel que votre navigateur soit à jour si vous vous souciez des données de votre ordinateur. Que vous ayez un antivirus est en fait un peu sans importance - il le fait aider un peu, mais cela ne vous épargnera pas contre la plupart des nouvelles attaques si votre navigateur ou votre système central sont obsolètes.

Note latérale: cela pourrait être différent si vous exécutez un navigateur en bac à sable. Cependant, à moins que vous ne sachiez que c'est ce que vous faites, vous ne le faites probablement pas. Et je ne suis pas sûr pour 32 bits, aucune des solutions de sandboxing courantes comme UWP/Windows App Store n'est prise en charge. De plus, dans ce cas, les sites Web peuvent toujours être en mesure de voler des données de tous les autres sites Web ouverts, y compris l'onglet de votre site Web bancaire. Ce n'est donc pas idéal.

Vous devez vous soucier de la sécurité si vous vous souciez de la sécurité.

Si vous vous souciez suffisamment de dire des choses comme "Je peux sentir des sites Web louche" ou "La plupart des sites Web que je visite ont des certificats SSL", alors vous vous souciez de la sécurité.

Les attaques sont là-bas. Période. Ne nous leurrons pas. Ne prétendons pas que nous sommes immunisés. Prenez Stuxnet . Stuxnet est réputé avoir détruit jusqu'à 1000 centrifugeuses utilisées pour enrichir le combustible nucléaire en Iran. C'est au moins des centaines de millions de dollars de dégâts. Concrètement, une bonne évaluation des risques du point de vue du pays serait encore plus désastreuse.

Vous vous sentez invincible parce que vous visitez des sites avec des certificats SSL? Les ordinateurs touchés par Stuxnet étaient à vide . Il n'y avait aucun fil entre Internet et les ordinateurs infectés. Ils étaient toujours infectés.

La vraie question n'est donc pas "suis-je en sécurité?" Tu n'es pas. La vraie question est de savoir si vous êtes en sécurité suffisamment . Vaut-il la peine de dépenser un certain nombre de dollars et un certain nombre d'heures pour mettre à niveau? C'est une question d'équilibre. C'est beaucoup plus utile.

Voici un test. Connectez-vous à votre ordinateur. Connectez-vous à quelques sites qui vous intéressent. Maintenant, donnez-moi votre ordinateur. Je vais m'en aller avec. Comment vous sentez-vous? Comment êtes-vous nerveux que j'ai vos données? Si tout ce que vous avez est un disque dur plein de jolies photos de chaton, alors vous allez probablement être plus en colère que je suis parti avec votre ordinateur portable. Les ordinateurs portables sont coûteux à remplacer. Mais si vous avez vos informations bancaires sur cet ordinateur, vous allez probablement être plus inquiet de ce que je peux faire avec ces informations. Votre SSN est-il sur cet ordinateur?

Une fois que vous comprenez combien de dégâts peuvent être causés, par rapport au coût de la prévention des dommages, vous pouvez émettre un jugement.

Les mises à jour du navigateur incluent des mises à jour des données de l'autorité de certification et en fait son propre certificat. Ces deux choses ont des dates d'expiration et il existe de nombreux sites Web qui ne sont pas accessibles pas du tout par des navigateurs trop anciens car le certificat SSL ne peut pas être vérifié par ce navigateur trop ancien OR ce navigateur trop ancien ne peut pas vérifier son propre certificat auprès du serveur distant. Donc, même si vous ne vous souciez pas de la sécurité, vous pourriez vous soucier de l'accès et des fonctionnalités que la validation de sécurité vous apporte .

De plus, au moment où vous "sentez" le caractère louche d'un site Web que vous consultez, il est déjà trop tard pour de nombreux types d'attaques. Espérons que votre ancien système d'exploitation 32 bits ne soit pas également en mesure d'obtenir des mises à jour de son logiciel antivirus.

En plus des excellents points dans d'autres réponses:

Votre logiciel 32 bits est-il toujours régulièrement mis à jour ou s'agit-il d'une ancienne version obsolète?

Une fois qu'un logiciel connecté à Internet cesse de recevoir de nouveaux correctifs de sécurité, il devient sensible à chaque nouveau bogue ou piratage par la suite.

• La plupart des sites Web que je visite ont un certificat SSL,
• La plupart d'entre eux sont soit assez grands pour que je puisse croire qu'ils ne peuvent pas être piratés, soit assez petits pour que je ne pense pas que ce soit rentable pour les pirates
• Je peux sentir des sites Web louche?

Tout y est faux.

La sécurité du navigateur, comme vous l'avez deviné, est importante car sur la plupart des systèmes, aucun autre logiciel ne rencontre régulièrement des données provenant de l'extérieur de la frontière de confiance qui

• doit être traité en temps quasi réel,
• ne souscrit pas à un format simple et facile à filtrer et
• est ensuite analysé ou exécuté par un logiciel très complexe qui implémente une cible en constante évolution - ou en d'autres termes: est très susceptible de contenir des erreurs de mise en œuvre, dont certaines peuvent être exploitables.

SSL vous protège contre certains types d'attaques, dont la plupart ne sont pas pertinentes si le but des attaquants est de compromettre votre machine. Comme son nom le plus courant - TLS - l'indique, son activité est sécurité des transports, sans protéger votre navigateur ou votre machine.

Les sites Web de tous types sont piratés en permanence. Les plus petits par des robots automatisés. Le bruit de fond ici est assez étonnant. Si vous avez votre propre serveur, montez vos fichiers journaux pendant une journée et émerveillez-vous devant la quantité de tentatives de connexion à pratiquement tous les ports intéressants, 24 heures sur 24, 7 jours sur 7. Montez vos fichiers journaux de serveur Web et parcourez les chemins étranges et les itinéraires standard vers des progiciels populaires et non sécurisés. Ce truc ne serait pas là-bas s'il ne fonctionnait pas, du moins parfois.

Les grands sites Web, quant à eux, ne sont pas plus sûrs simplement en étant plus grands. Dans le règne animal, il faut être le plus gros pour être à l'abri des prédateurs. Si vous êtes juste gros, cela signifie simplement que vous êtes chassé par des lions au lieu de renards. Même chose sur Internet, être un grand site Web signifie simplement que vos acteurs de la menace sont des activistes dévoués, le crime organisé, peut-être des États-nations (selon votre entreprise), etc. Le profil de la menace change en fonction de votre taille, mais il est tout à fait naïf d'affirmer carrément qu'il change pour le mieux.

Vous pouvez probablement sentir des sites Web louche, mais un certain nombre de logiciels malveillants ont été déposés par le biais du chargement latéral, par exemple via un réseau publicitaire au lieu des sites Web directement. Ce pourrait être par le biais d'un CDN compromis que votre site Web ne dégage aucune odeur.

Donc, en résumé: la sécurité du navigateur est importante car c'est l'un des plus grands sinon trous les plus grands de votre périmètre, et vous pouvez pas protégez-vous adéquatement par des habitudes de navigation ou des outils anti-malware, bien que les deux aident.