Les sites Web peuvent utiliser des failles de sécurité dans les navigateurs ou des plug-ins de navigateur pour échapper à ces sandbox. Les sites Web malveillants vont également essayer d'utiliser des tactiques d'ingénierie sociale pour vous duper.
Plugins de navigateur non sécurisés
La plupart des personnes compromises via les navigateurs le sont via les plug-ins de leur navigateur. Oracle Java est le pire et le plus dangereux des coupables. Des ordinateurs internes ont récemment été compromis pour Apple et Facebook, car ils avaient accédé à des sites Web contenant des applets Java malveillants. Leurs plugins Java auraient pu être complètement à jour - cela n’aurait pas d’importance, car les dernières versions de Java contiennent toujours des vulnérabilités de sécurité non corrigées.
Pour vous protéger, vous devez désinstaller complètement Java. Si vous ne pouvez pas, car vous avez besoin de Java pour une application de bureau telle que Minecraft, vous devez au moins désactiver le plug-in de navigateur Java pour vous protéger.
D’autres plug-ins de navigateur, notamment les plug-ins de lecteur Flash et de lecteur PDF d’Adobe, doivent également corriger régulièrement des vulnérabilités de sécurité. Adobe est devenu meilleur qu'Oracle pour ce qui est de répondre à ces problèmes et de corriger leurs plugins, mais il est toujours courant d’entendre parler d’une nouvelle vulnérabilité de Flash exploitée.
Les plugins sont des cibles juteuses. Les vulnérabilités dans les plugins peuvent être exploitées sur tous les navigateurs différents avec le plugin sur tous les systèmes d'exploitation. Une vulnérabilité de plug-in Flash pourrait être utilisée pour exploiter Chrome, Firefox ou Internet Explorer sous Windows, Linux ou Mac.
Pour vous protéger contre les vulnérabilités du plug-in, procédez comme suit:
- Utilisez un site Web tel que le plugin de Firefox pour vérifier si vous avez des plugins obsolètes. (Ce site a été créé par Mozilla, mais il fonctionne également avec Chrome et d'autres navigateurs.)
- Mettez à jour immédiatement les plugins obsolètes. Maintenez-les à jour en vous assurant que les mises à jour automatiques sont activées pour chaque plug-in installé.
- Désinstallez les plugins que vous n’utilisez pas. Si vous n'utilisez pas le plug-in Java, vous ne devriez pas l'avoir installé. Cela aide à réduire votre «surface d’attaque» - la quantité de logiciels disponibles sur votre ordinateur pour être exploités.
- Pensez à utiliser la fonctionnalité de plug-ins click-to-play dans Chrome ou Firefox, qui empêche les plug-ins de s'exécuter sauf lorsque vous en faites la demande spécifique.
- Assurez-vous d’utiliser un antivirus sur votre ordinateur. Il s’agit de la dernière ligne de défense contre une vulnérabilité «zéro jour» (une nouvelle vulnérabilité non corrigée) dans un plugin permettant à un attaquant d’installer un logiciel malveillant sur votre ordinateur.
Trous de sécurité du navigateur
Les vulnérabilités de sécurité des navigateurs Web eux-mêmes peuvent également permettre à des sites Web malveillants de compromettre votre ordinateur. Les navigateurs Web ont en grande partie mis de l'ordre dans leurs actes et les vulnérabilités de sécurité des plugins sont actuellement la principale source de compromis.
Cependant, vous devez de toute façon garder votre navigateur à jour. Si vous utilisez une ancienne version non corrigée d’Internet Explorer 6 et que vous visitez un site Web moins réputé, le site Web pourrait exploiter les vulnérabilités de sécurité de votre navigateur pour installer un logiciel malveillant sans votre permission.
Se protéger des vulnérabilités de la sécurité du navigateur est simple:
- Gardez votre navigateur Web à jour. Tous les principaux navigateurs vérifient maintenant les mises à jour automatiquement. Laissez la fonctionnalité de mise à jour automatique activée pour rester protégée. (Internet Explorer se met à jour par le biais de Windows Update. Si vous utilisez Internet Explorer, il est extrêmement important de rester à jour sur les mises à jour pour Windows.)
- Assurez-vous d’exécuter un antivirus sur votre ordinateur. Comme pour les plugins, il s’agit de la dernière ligne de défense contre la vulnérabilité «zéro jour» dans un navigateur qui permet aux logiciels malveillants de s’installer sur votre ordinateur.
Astuces d'ingénierie sociale
Des pages Web malveillantes tentent de vous amener à télécharger et à exécuter des logiciels malveillants. Ils le font souvent en utilisant «l'ingénierie sociale» - en d'autres termes, ils tentent de compromettre votre système en vous persuadant de les laisser entrer sous de faux prétextes, et non en compromettant votre navigateur ou vos plugins.
Ce type de compromis ne se limite pas à votre navigateur Web: des messages électroniques malveillants peuvent également vous inciter à ouvrir des pièces jointes non sécurisées ou à télécharger des fichiers non sécurisés. Cependant, de nombreuses personnes sont infectées par tout, des barres d’outils de logiciel de publicité et de logiciels malveillants aux virus et chevaux de Troie en passant par les astuces d’ingénierie sociale mises en place dans leurs navigateurs.
Contrôles ActiveX: Internet Explorer utilise les contrôles ActiveX pour ses plug-ins de navigateur. Tout site Web peut vous inviter à télécharger un contrôle ActiveX. Cela peut être légitime. Par exemple, vous devrez peut-être télécharger le contrôle ActiveX de Flash Player lors de la première lecture d’une vidéo Flash en ligne. Toutefois, les contrôles ActiveX ressemblent à n’importe quel autre logiciel de votre système et sont autorisés à quitter le navigateur Web et à accéder au reste de votre système. Un site Web malveillant poussant un contrôle ActiveX dangereux peut indiquer que le contrôle est nécessaire pour accéder à certains contenus, mais il peut en réalité exister pour infecter votre ordinateur. En cas de doute, n'acceptez pas d'exécuter un contrôle ActiveX.
- Téléchargement automatique de fichiers: Un site Web malveillant peut tenter de télécharger automatiquement un fichier EXE ou un autre type de fichier dangereux sur votre ordinateur dans l'espoir de le lancer. Si vous n'avez pas spécifiquement demandé un téléchargement et ne savez pas ce que c'est, ne téléchargez pas un fichier qui s'ouvre automatiquement et vous demande où le sauvegarder.
- Faux liens de téléchargement: Sur les sites Web dotés de réseaux publicitaires défectueux - ou sur les sites contenant du contenu piraté - vous verrez souvent des publicités imitant des boutons de téléchargement. Ces publicités tentent d’amener les gens à télécharger quelque chose qu’ils ne recherchent pas en se faisant passer pour un lien de téléchargement réel. Il y a de bonnes chances que des liens tels que celui-ci contiennent des logiciels malveillants.
“Vous avez besoin d'un plugin pour regarder cette vidéo”Remarque: si vous tombez sur un site Web vous invitant à installer un nouveau plug-in de navigateur ou un nouveau codec pour lire une vidéo, méfiez-vous. Vous aurez peut-être besoin d'un nouveau plug-in de navigateur pour certaines choses - par exemple, vous avez besoin du plug-in Silverlight de Microsoft pour lire des vidéos sur Netflix - mais si vous êtes sur un site Web moins réputé qui souhaite que vous téléchargiez et exécutiez un fichier EXE afin de pouvoir lire Selon leurs vidéos, ils essaieront probablement d’infecter votre ordinateur avec des logiciels malveillants.
" Votre ordinateur est infecté": Vous pouvez voir des publicités disant que votre ordinateur est infecté et insistant sur le fait que vous devez télécharger un fichier EXE pour nettoyer les choses. Si vous téléchargez ce fichier EXE et l'exécutez, votre ordinateur sera probablement infecté.
Ce n’est pas une liste exhaustive. Les personnes malveillantes sont constamment à la recherche de nouvelles façons de tromper les gens.
Comme toujours, un antivirus peut vous protéger si vous téléchargez accidentellement un programme malveillant.
C’est ainsi que l’utilisateur informatique moyen (et même les employés de Facebook et d’Apple) «pirate» l’ordinateur via son navigateur. La connaissance, c'est le pouvoir, et cette information devrait vous aider à vous protéger en ligne.
