Exporter (0) Imprimer
Développer tout

Présentation de la sécurité Internet Explorer 8.0

Mis à jour: juin 2009

S'applique à: Windows 7

Cette rubrique d’évaluation du produit pour les professionnels de l’informatique présente les améliorations de sécurité apportées à Windows Internet Explorer 8 pour se protéger contre :

  • les exploitations basées sur le navigateur ;

  • les vulnérabilités des serveurs Web ;

  • les attaques d’ingénierie sociale.

L’option Configuration de sécurité renforcée est aussi améliorée pour Internet Explorer 8 sur les systèmes d’exploitation serveur.

Modifications apportées à la sécurité d’Internet Explorer 8

Vulnérabilités des modules complémentaires et du navigateur

  • Protection de la mémoire DEP/NX. La fonctionnalité de prévention de l’exécution des données (DEP) ou No-Execute (NX) permet de contrecarrer les attaques en empêchant l’exécution du code, marqué comme non exécutable, dans la mémoire. Les fonctionnalités DEP/NX, associées à d’autres technologies, telles que ASLR (Address Space Layout Randomization), rendent plus difficile l’exploitation de certains types de vulnérabilités liées à la mémoire, notamment les dépassements de mémoire tampon. La protection s’applique à la fois à Internet Explorer 8 et aux modules complémentaires chargés par ce programme. Aucune intervention de l’utilisateur n’est nécessaire pour fournir cette protection, et aucune nouvelle invite n’est introduite.

  • ActiveX. Deux modifications ont été apportées à la façon dont Internet Explorer 8 gère les contrôles ActiveX :

    • ActiveX par site. Mécanisme de défense pour empêcher la réaffectation malveillante des contrôles. Lorsqu’un utilisateur accède à un site Web contenant un contrôle ActiveX, Internet Explorer 8 effectue plusieurs vérifications, il détermine notamment si l’exécution d’un contrôle est autorisée. Si un contrôle est installé mais que son exécution n’est pas autorisée sur un site Web spécifique, un message s’affiche dans la barre d’informations pour demander l’accord de l’utilisateur. Les professionnels de l’informatique qui gèrent des ordinateurs clients exécutant Internet Explorer 8 peuvent choisir de définir les contrôles autorisés et les domaines associés correspondants. Ces paramètres peuvent être configurés à l’aide de la stratégie de groupe.

    • ActiveX par utilisateur. Les utilisateurs standard peuvent installer les contrôles ActiveX dans leur profil utilisateur sans privilèges d’administration. Cette amélioration permet aux utilisateurs standard d’installer les contrôles ActiveX utilisés dans leur navigation quotidienne. En outre, si un utilisateur installe un contrôle ActiveX malveillant, l’ensemble du système n’est pas affecté car le contrôle est installé uniquement sous le compte de l’utilisateur. Les professionnels de l’informatique qui gèrent des ordinateurs clients exécutant Internet Explorer 8 peuvent utiliser la stratégie de groupe pour activer ou désactiver cette fonctionnalité.

  • Mode protégé. Introduit la première fois dans Internet Explorer 7, ce mode contribue à réduire la gravité des menaces à l’encontre d’Internet Explorer et des extensions exécutées dans ce programme en empêchant l’installation de code malveillant. Contrairement à Internet Explorer 7, Internet Explorer 8 peut héberger à la fois les onglets Mode protégé et Mode non protégé dans la même fenêtre du navigateur. Pour améliorer les performances et la compatibilité des applications, Internet Explorer 8 désactive le Mode protégé dans la zone Intranet local. Les utilisateurs d’Internet Explorer 8 et les administrateurs de domaines peuvent activer le Mode protégé pour la zone Intranet local.

  • Demande de protocole d’application. Les gestionnaires de protocole d’application permettent aux applications non fournies par Microsoft, telles que les lecteurs multimédias et les applications de téléphonie par Internet, de démarrer dans le navigateur. Cela peut accroître l’exposition aux attaques. Afin de s’assurer que les utilisateurs gardent le contrôle de leur expérience de navigation, Internet Explorer 8 affiche maintenant une invite avant de démarrer les protocoles d’application.

  • Contrôle des téléchargements de fichier. Pour bloquer les attaques basées sur le vol des touches afin d’amener par la ruse l’utilisateur à entrer un chemin de fichier local dans le contrôle, la boîte de dialogue Chemin du fichier est désormais en lecture seule. L’utilisateur doit sélectionner explicitement un fichier à télécharger à l’aide de la boîte de dialogue issue11654Rechercher le fichier, puis Internet Explorer 8 envoie uniquement le nom du fichier et non pas le chemin complet. Le paramètre de sécurité Inclure le chemin d’accès du répertoire local lorsque des fichiers sont téléchargés est désactivé par défaut pour la zone Internet.

Améliorations apportées à la sécurité des applications Web

  • Script de site à site. Internet Explorer 8 introduit un filtre de script de site à site qui rend les failles de script de site à site de Type 1, également appelées vulnérabilités non persistantes ou reflétées, plus difficiles à exploiter. Les failles de script de site à site de Type 1 constituent une part croissante des vulnérabilités signalées et sont de plus en plus exploitées. Le filtre de script de site à site permet d’identifier un script de site à site potentiellement malveillant et de neutraliser l’attaque en évitant que l’exécution du script soit reflétée sur le serveur et en arrêtant l’attaque sur l’ordinateur client. Une notification s’affiche dans la barre d’informations.

  • Agrégation des données de site à site. L’objet XDomainRequest (XDR) d’Internet Explorer 8 crée une demande de données inter-domaine dans le navigateur et non pas une demande entre serveurs. Les demandes inter-domaine exigent le consentement mutuel entre la page Web et le serveur, la prise en charge de XDR par le site Web et que les données soient disponibles entre les domaines. L’objet XDR s’intègre à la structure brouillon du Web Application Working Group du World Wide Web Consortium (W3C) sur la communication inter-domaine côté client.

    Internet Explorer 8 introduit aussi la prise en charge de la messagerie inter-document (également appelée postMessage), qui permet aux éléments IFRAME de communiquer de manière plus sécurisée tout en conservant l’isolation DOM (Document Object Model).

  • Modifications apportées à la gestion MIME. Les modifications suivantes ont été apportées aux algorithmes de détection de type MIME (Multipurpose Internet Mail Extensions) Internet Explorer 8 :

    • Limiter la détection de type MIME. Internet Explorer 8 empêche la détection, ou détection de données, de fichiers de types de contenu MIME image/* dans les documents HTML ou scripts. Si un fichier contient un script et que le serveur déclare qu’il s’agit d’un fichier image, Internet Explorer 8 n’exécute pas le script incorporé.

    • Empêcher la détection de type MIME. Les applications Web peuvent maintenant empêcher la détection de type MIME. Envoyer le nouvel en -tête X-Content-Type-Options: nosniff empêche Internet Explorer d’utiliser la détection de type MIME pour changer le type de contenu déclaré par le serveur.

    • Forcer l’enregistrement. Pour les applications Web qui doivent servir des fichiers HTML non approuvés, Internet Explorer 8 contient un mécanisme qui force les utilisateurs à enregistrer ces fichiers avant l’ouverture pour éviter que le contenu non approuvé ne compromette la sécurité du site.

  • Protection contre les types d’attaques CSRF. Internet Explorer 8 assure la protection contre les types d’attaques CSRF (Cross-Site Request Forgery) dans lesquelles la page Web d’un attaquant amène par la ruse l’utilisateur à cliquer sur un objet, tel qu’un bouton Suivant, contenant du code sous-jacent qui effectue une tâche, telle que que l’envoi d’informations personnelles à un autre site Web ou une adresse électronique, sans que l’utilisateur ne s’en rende compte. Ces attaques rendent la plupart des moyens réduits contre CSRF sans défense et peuvent être utilisées pour reconfigurer certains modules complémentaires du navigateur de manière non sécurisée.

Ingénierie sociale et confidentialité

  • Mise en surbrillance du domaine dans la barre d’adresses. Internet Explorer 8 met en surbrillance le nom de domaine d’un site pour aider l’utilisateur à interpréter les adresses Web (URL) et éviter les sites d’hameçonnage ou trompeurs. Ler nom de domaine apparaît en noir dans la barre d’adresses et le reste de l’URL est en gris. L’utilisateur peut ainsi identifier plus facilement la véritable identité du site. Lorsqu’elle est couplée à d’autres technologies, telles que les certificats SSL de validation étendue, la barre d’adresses avancée d’Internet Explorer 8 permet aux utilisateurs de s’assurer qu’ils fournissent leurs informations personnelles uniquement à des sites de confiance.

  • Filtre SmartScreen. La protection contre les programmes malveillants dans le filtre SmartScreen porte sur l’identification et le blocage de sites Web qui distribuent des logiciels malveillants. Fonctionnalité basée sur la réputation, ce filtre peut bloquer de nouvelles menaces de sites malveillants existants, même si ces menaces ne sont pas encore bloquées par des signatures anti-malware ou antivirus traditionnelles. Le filtre SmartScreen peut bloquer la navigation ou le téléchargement des fichiers. Ce niveau de contrôle permet à Internet Explorer 8 de bloquer l’intégralité des sites malveillants, des parties de sites ou un seul téléchargement malveillant (par exemple, sur un réseau social ou un site de partage de fichiers). Si un utilisateur tente de télécharger des logiciels éventuellement non sécurisés lorsque le filtre SmartScreen est actif, il reçoit une invite contenant la liste des actions à entreprendre. Les administrateurs peuvent gérer le filtre SmartScreen via la stratégie de groupe, notamment l’action alternative à sélectionner lorsqu’un avertissement s’affiche.

  • Fonctionnalité de protection des données. Internet Explorer 8 introduit plusieurs fonctionnalités de protection des données nouvelles ou avancées pour offrir aux utilisateurs davantage de contrôle sur leurs informations personnelles, celles-ci pouvant être gérées via la stratégie de groupe.

    • Favoris et suppression de l’historique de navigation. Internet Explorer 8 autorise les utilisateurs à conserver les informations associées au menu Favoris lorsqu’ils suppriment leur historique de navigation. Cela leur permet de mieux contrôler les éléments supprimés de l’historique de navigation, tels que les cookies, les mots de passe enregistrés et les informations sur les formulaires Web.

    • Navigation InPrivate. Dans les cas où les utilisateurs partagent une station de travail, un ordinateur portable ou une borne publique, laisser un historique de navigation pour l’utilisateur suivant peut compromettre la confidentialité et la sécurité. La navigation InPrivate dans Internet Explorer 8 supprime l’historique de navigation en ne stockant pas l’historique, les cookies, les fichiers temporaires Internet ou d’autres données.

    • Filtrage InPrivate. Au fil du temps, l’historique et les profils utilisateur peuvent être agrégés et suivis à votre insu par des scripts malveillants ou des cookies de suivi. Ce filtre suit ces scripts et cookies présents sur différents sites Web visités et les bloque automatiquement s’ils sont rencontrés plus de dix fois. Il permet aussi aux utilisateurs et aux administrateurs de sélectionner manuellement les sites à autoriser ou bloquer.

Modifications apportées à l’option Configuration de sécurité renforcée d’Internet Explorer 8 pour les systèmes d’exploitation serveur

Dans Internet Explorer, les utilisateurs peuvent configurer les paramètres de sécurité pour les zones Intranet local et Sites de confiance. Par défaut, ils ne peuvent pas modifier le paramètre de sécurité des zones Internet et Sites sensibles. L’option Configuration de sécurité renforcée d’Internet Explorer affecte deux niveaux de sécurité à ces zones :

  • Pour la zone Internet, le niveau de sécurité est défini à Haute.

  • Pour la zone Sites de confiance, le niveau de sécurité est défini à Moyenne, ce qui permet l’accès à de nombreux sites Internet.

  • Pour la zone Intranet local, le niveau de sécurité est défini à Moyenne-basse, ce qui permet d’envoyer automatiquement les informations d’identification de l’utilisateur (nom d’utilisateur et mot de passe) aux sites et applications qui en ont besoin.

  • Pour la zone Sites sensibles, le niveau de sécurité est défini à Haute.

noteRemarque
Tous les sites Internet et intranet sont affectés à la zone Internet par défaut. Les sites intranet ne font pas partie de la zone Intranet local sauf si vous les ajoutez explicitement à cette zone.

Ressources supplémentaires

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft