kreizihorse - Fotolia
Le Web n'est toujours pas un lieu sûr
Plus de 40 % des 100 000 sites les plus visités présente, directement ou indirectement, un risque pour les internautes, en raison de vulnérabilités, ou de compromission active voire récente.
L’édition 2018 du rapport de Menlo Security sur la sécurité des sites Web n’est guère brillante. Sa lecture ne surprendra probablement les experts de Wavestone, qui dressaient encore à l’automne dernier, un état des lieux affligeant pour le Web français. Mais les chiffres n’en sont pas moins éclairants.
Ainsi, selon le rapport, 42 % des 100 000 sites les plus visités selon Alexa font ou ont fait courir un risque aux internautes : eux-mêmes ou des sites liés exécutent des logiciels vulnérables ; sont connus pour distribuer les maliciels ; ou encore ont été victime d’une brèche au cours des 12 derniers mois.
Menlo Security a compté plus de 32 000 sites – du classement Alexa, ou accessibles via l’un de ceux qui y figurent – exécutant IIS 7.5 de Microsoft, lancé en 2009 et qui souffre de quelques jolies vulnérabilités. C’est le cas aussi de PHP 5.5.9, présent sur près de 13 000 étudiés. Pour ne citer qu’eux.
Les sites personnels et autres blogs n’ont pas toujours bonne réputation, comme le relevait récemment dans nos colonnes Thomas Chopitea, créateur de la plateforme de gestion du renseignement sur les menaces Yeti, et ancien du Cert de la Société Générale. Selon Menlo Security, 40 % d’entre eux s’avèrent risqués selon ses critères évoqués plus haut. Mais la situation n’est guère meilleure ailleurs : à en croire l’éditeur, cela vaut aussi pour 49 % des sites médias, 45 % de ceux du domaine du divertissement et des arts, 41 % de ceux du voyage, ou encore 39 % dans le secteur de l’économie et 38 % dans celui du shopping. Bref, pas un domaine ne semble véritablement sortir du lot.
Toutefois, en se concentrant sur le critère de la distribution de logiciels malveillants, le domaine de la pornographie se hisse en première place d’un podium bien malheureux, avec plus de 41 000 sites. Mais le domaine de l’économie arrive tout de même en quatrième position avec plus de 12 300 sites. Et pour ce qui est des logiciels obsolètes, c’est ce domaine qui arrive en tête, avec plus de 51 000 sites concernés… En outre selon Menlo Security, près de 24 000 sites Web de ce domaine ont connu une brèche au cours des 12 derniers mois.
Le monde de l’économie et des affaires apparaît en outre particulièrement prisé par les cyber-délinquants adeptes du hameçonnage : dans cette catégorie, les chercheurs de Menlo Security ont trouvé plus de 11 500 pages de phishing l’an passé.
L’isolation Web, un marché plein de promesses
Dans ce contexte, il n’est guère surprenant que Symantec se soit intéressé au déport de rendu Web en rachetant Fireglass, l’an passé. Proofpoint a suivi la même voie à l’automne en s’offrant Weblife. Amir Ben-Efraim, Pdg et co-fondateur de Menlo Security, voit d’ailleurs là une « validation » de son approche. Mais lui qui a levé 85 M$ il y a quelques mois – notamment auprès de JP Morgan Chase, qui mettait là au pot pour la seconde fois – revendique une double différence.
Tout d’abord, pour lui, pas question de limiter le déport du rendu Web pour uniquement certains sites ou certaines catégories de sites : « l’isolation doit vraiment gérer tout le trafic Web et tout l’e-mail. Car le maliciel peut arriver par n’importe quel site Web catégorisé comme sain ».
Certains, comme Bromium, misent sur l’isolation des processus applicatifs dans une micro-machine virtuelle, une approche qui a séduit HP pour Sure Click. Microsoft s’en est inspirée avec la mise à jour Creators d’automne de Windows 10, et Defender Application Guard. Mais pour Amir Ben-Efraim, cette approche peut poser des problèmes de performances ou encore de déploiement. Pour éviter à des grands comptes de se lancer dans de vastes projets, il préfère donc l’approche de la navigation sécurisée en Cloud.
Reste que même dans cette logique, des approches différentes peuvent être prises. Le patron de Menlo Security relève ainsi que la technologie de Fireglass n’est ni plus ni moins qu’une sorte de VDI dans le navigateur. Symantec parle d’ailleurs de « visual stream » pour évoquer le rendu renvoyé au navigateur de l’utilisateur, et mettre en avant une « isolation complète ». Cela vaut également pour Ericom, pour Silo d’Authentic8, Isla de Cyberinc, et Crusoe. En revanche Webgap présente une approche qui rappelle celle de Menlo Security.