La CISA, l'agence américaine chargée de la cybersécurité, vient d'exhorter les agences fédérales à généraliser leur déploiement sur les ordinateurs des employés afin de lutter contre le « malvertising », relève Cyberscoop.
La CISA rejoint en cela la NSA, qui avait envoyé un message similaire en 2018, afin d'enrayer le déploiement de malwares au travers de publicités détournées.
L'agence recommande également d'isoler les navigateurs Web des systèmes d'exploitation, comme le fait le ministère de la Défense.
Commentaires (21)
#1
En fait, cela devrait être le cas dans toute société un tant soit peu sérieuse côté sécurité.
Je me demande si les firewall matériels incluent déjà un genre de protection façon pi-hole pour bloquer tous les traceurs et les publicités. On pourrait également avoir des proxy menteurs pour les images facebook de traçage.
#1.1
Groupe du CAC40, Chrome 84 dans le centre logiciel, version bloquée par l’administrateur, pas d’ad-block et ajout d’add-ons bloqué par l’administrateur… Tu mettrais quel niveau de sérieux là ?
Remarque ça permet de me rappeler pourquoi j’ai ublock chez moi…
#1.2
Dans un groupe du CAC40, si le SI est un minimum sérieux (je suis d’accord, c’est pas systématique…) tu dois passer par un proxy pas trop mal configuré et un pare-feu bien réglé en prime.
Mais bon, ça suppose un SI un minimum sérieux…
#1.3
Un proxy McAfee qui bloque comme un débile quand je suis sur une connexion autre que celle de la boîte, le summum le site Météo France où les prévisions sont bloquées mais pas les pubs…
#1.4
Parfaitement logique. Si tu consultes la météo, c’est que tu comptes partir en W/E. Si tu pars en W/E tu risques de te blesser. Si tu te blesses, tu risques de ne pas venir travailler lundi.
#2
Un pare-feu qui a/prend connaissance du contenu des paquets ? DPI ?
Brrrrr…
Mélange de DNS menteur et proxy filtrant ?
Un proxy est menteur par nature, que ce soit pour la source ou la destination.
#3
C’est très courant en entreprise. Il faut regarder l’origine des certificats pour s’en rendre compte.
#4
Dans ma boite aussi on utilise Chrome, si l’on peut avoir des réserves sur la partie vie privée notamment, si on n’utilise pas Firefox, par exemple, c’est parce que Chrome offrait un niveau de service plus solide pour la DSI (j’entends par là niveau gestion de parc, etc.).
Quant à la version du navigateur utilisée en production, idem on est en permanence avec 1-3 versions majeures de retard mais c’est “assumé” dans le sens où la DSI n’a pas les moyens de suivre le rythme frénétique de mises à jour de Google (environ une toutes les six semaines).
Enfin concernant l’utilisation en entreprise d’extensions anti-publicités/pistage, à priori c’est une bonne idée pour éviter le suivi publicitaires des salariés, la fluidité du surf et surtout les requêtes vers des domaines malveillants.
Mais quid :
-> Du jour où une vulnérabilité importante sera rendue publique pour l’une de ces extensions ?
Si on prend juste l’exemple de uBlock Origin, que j’utilise dans un cadre perso, si je ne me trompe pas le gars est tout seul pour le développement. Pour déployer un logiciel en entreprise qui n’a qu’un seul contributeur, va falloir être convaincant.
-> Des incidents utilisateurs que ça va générer parce qu’untel ne pourra plus utiliser convenablement tel site ou telle fonctionnalité parce qu’elle est bloquée par l’extension ?
J’ai lu la doc’ de la CISA et malheureusement comme bien souvent de grands et beaux principes sont donnés mais aucune extension n’est citée, faut se débrouiller tout seul. J’ai l’impression de lire des docs’ de la CNIL
#5
Ah ouai, ils sont aussi bons que pour leur antivirus en fait
#5.1
Conçu par des ânes, supervisés par des singes, c’est pas que Boeing visiblement…
#6
#7
Les navigateurs sont devenus le système d’exploitation.
Du moins, ils sont le système d’exécution unique qui permet d’accéder à toutes les ressources/données de l’entreprise. L’information sensible est souvent dans l’onglet d’à coté.
#7.1
tristement tellement vrai
sans parler des partages d’écrans en visio où celui qui “projette” doit se connecter et ouvre … un fichier texte avec ses mdp XD
#8
Au taf, la méthode un peu bourrin par les admin du parefeu a été de mettre bit.ly en /dev/null vu qu’à part les liens “à la con” de marketeux et les malware, l’utilité est limitée…
#9
Pas besoin de DPI avec les requêtes DNS. C’est la raison pour laquelle j’ai cité pi-hole. Ma question était donc de savoir si les pare-feux matériels incluaient des prestations de cache DNS, menteur en prime, même si ce n’est pas le business premier d’un pare-feux, j’en convient.
Le problème avec les blocages purs et simple comme le fait blockada sous android, est que cela conduit souvent à des ralentissement des softs qui attendent parfois plusieurs secondes leur réponse avant de lâcher l’affaire. Renvoyer un faux résultat tout de suite me parait bien mieux.
J’en profite pour glisser vers android et la vie privée: pourquoi ne pas filer des emplacement GPS bidons et des faux carnets d’adresses aux programmes qui exigent cet accès ? Cela éviterait le harcèlement comme google agenda qui me rappelle à chaque ouverture qu’il n’a pas le droit de lire mes contacts et de connaitre ma position.
#9.1
Je recommande ça niveau liste de blockage DNS
https://github.com/StevenBlack/hosts
#10
Il existe des solutions anonymisantes qui font ce genre de chose sur android (le module xprivacy du framework Xposed, par exemple) mais c’est compliqué / risqué à installer et il faut un téléphone rooté.
#11
Merci pour les infos les inpactiens
#12
A l’époque ou l’utilisation des navigateurs est généralisée pour utiliser des logiciels professionnels sur serveur (webap?), je trouve hallucinant qu’aucun acteur privé ou public ne songe à concevoir un navigateur “sécurisé “.
Y’a probablement de l’argent à se faire.
#12.1
C’est déjà le cas, Google et Microsoft investissent énormément d’argent et de moyens (humains) dans le sécurité de Chrome et Edge. Mais cela dépend fortement de ce qu’on entend par “navigateur sécurisé”.
#13
Grosse boîte du CAC 40 : tout se passe niveau proxy avec interception TLS. Ils filtrent les pubs, les types mimes, certains POST, upload très surveillé, grosse blacklist. Assez efficace et pas dépendant du navigateur. On a du coup le choix du navigateur en version ESR ou enterprise. Par contre faut pas faire de perso, sinon l’interception TLS du proxy voit tout. Donc laptop perso à sur le wifi + VPN.