Étendre le Zero Trust au navigateur Internet

La dernière vulnérabilité de l'entreprise décentralisée en matière de sécurité

L'Internet public est une source considérable de risques informatiques pour l'entreprise. Les collaborateurs qui utilisent Internet pour leur travail ou à des fins personnelles risquent de s'exposer aux attaques par phishing et aux logiciels malveillants. Ces menaces s'appuient sur des techniques d'ingénierie sociale et d'exploitation des vulnérabilités des navigateurs afin de dérober des informations sensibles ou d'exécuter du code malveillant sur les machines des utilisateurs.

Indépendamment des techniques employées, la majorité de ces attaques partagent le même objectif : accéder au réseau privé de l'entreprise.

Divers facteurs (la plupart issus de la pandémie de COVID-19) ont entraîné des pics d'activité des menaces basées sur le navigateur et conduit à une vulnérabilité accrue des entreprises face à ces menaces. Ces facteurs comprennent les suivants :

  • Utilisation par les pirates de la confusion liée à la pandémie afin d'inciter au téléchargement de logiciels malveillants.

  • Diminution liée au télétravail des frontières entre les sphères personnelles et professionnelles en matière d'utilisation d'Internet.

  • Utilisation d'appareils personnels non protégés ou faiblement sécurisés par les collaborateurs, en raison du développement du télétravail.

  • Accès à un plus grand nombre d'applications et de données par les collaborateurs via l'Internet public plutôt que par l'intermédiaire d'un réseau d'entreprise sécurisé.

  • Utilisation d'outils d'accès à distance bricolés ensemble et donnant à des appareils compromis un accès illimité aux réseaux d'entreprise.

Les protections de sécurité traditionnelles du périmètre de l'entreprise sont désormais obsolètes à l'égard de la manière dont l'activité d'aujourd'hui se poursuit au sein du navigateur Internet.

Les attaques basées sur le navigateur évoluent

L'Internet a toujours représenté une source de risques informatiques. En outre, les schémas d'attaque ont évolué avec le temps, notamment dans le sillage de la COVID-19 et de la brusque hausse du télétravail qui en a résulté.

Les attaques par phishing montent en flèche

L'augmentation des attaques par phishing constitue l'un des changements récents les plus répandus sur le paysage des cybermenaces. 42 % des PME et 61 % des grandes entreprises ont constaté une augmentation des tentatives de phishing pendant les mesures de confinement. D'après l'Internet Crime Complaint Center du FBI (IC3, le centre des plaintes en matière de criminalité), le phishing a été le type de crime le plus couramment signalé lorsque le télétravail était à son plus haut, avec deux fois plus de plaintes enregistrées par rapport à l'année précédente.

Les attaques par phishing sont courantes, car elles se montrent efficaces pour dérober des identifiants. Elles fonctionnent mieux dans un environnement d'incertitude, au sein duquel les utilisateurs en quête d'informations se révéleront plus enclins à se faire piéger, comme dans le cas des Jeux olympiques d'hiver 2018. La pandémie de COVID-19 crée un environnement idéal pour le phishing, car la population recherche des informations et des actualités liées au virus.

Les rançongiciels connaissent une forte croissance

Les logiciels malveillants sont des programmes qui infectent les ordinateurs, les autres appareils connectés à Internet, voire des réseaux entiers. Une fois installés sur l'appareil ou le réseau visé, ces logiciels peuvent atteindre différents objectifs, du vol de données aux attaques par rançongiciels.

Ce type de programmes constitue une vaste catégorie en soi. De même, la popularité des diverses formes de logiciels malveillants augmente et diminue au fil du temps, au rythme de leurs évolutions. Toutefois, la menace générale qu'ils représentent persiste toujours. Les rançongiciels et les logiciels de minage malveillant de cryptomonnaie ont, par exemple, tendance à s'échanger l'un l'autre leur position dans le classement des vecteurs d'attaque les plus utilisés par les cybercriminels. En 2020, les attaques par rançongiciels ont connu une augmentation de 465 %, alors que les cybercriminels tentaient de tirer avantage de la pandémie.

Les logiciels malveillants sont souvent diffusés par l'intermédiaire du phishing ou de solutions d'accès à distance compromises, mais ils peuvent également être intégrés à un site web ouvertement malveillant, voire à un site compromis à l'insu de son propriétaire. Les entreprises doivent donc être préparées à se défendre contre les logiciels malveillants diffusés via les navigateurs Internet.

Les mesures de sécurité traditionnelles passent à côté des attaques récentes

Les passerelles web sécurisées (SWG) et les services de proxy web sont des solutions courantes aux risques informatiques liés à la navigation Internet pour les appareils distants. Le trafic est redirigé vers ces solutions, qui le surveillent et le filtrent afin de bloquer les tentatives de visite sur des sites malveillants ou suspects. Cette opération permet d'empêcher l'infection de l'appareil d'un collaborateur par du contenu malveillant.

Les SWG et les services de proxy web font une consommation fréquente d'informations permettant d'identifier les menaces ou les sites courants qui enfreignent les politiques définies par les administrateurs. Cette solution ne s'avère toutefois pas idéale. Le paysage des menaces Internet évolue constamment, à mesure que les pirates mettent au point de nouveaux sites web permettant de soutenir leurs nouvelles campagnes ou refondent leurs sites existants.

Ce constat implique que les entreprises doivent souvent faire face à des menaces inconnues ou de type zero-day, que les SWG ont du mal à détecter. Les administrateurs ont besoin de moyens supplémentaires de bloquer des menaces dont ils n'ont pas encore conscience.

L'adoption de l'isolation de navigateur

Les limitations des SWG et des solutions de proxy web rendent impossible le blocage de chaque menace potentielle sur Internet. Sans la possibilité de se prémunir contre l'ensemble des attaques, la meilleure stratégie à adopter consiste à minimiser les risques potentiels que ces attaques font courir aux entreprises.

La technique d'isolement de navigateur a gagné en popularité, car elle permet d'isoler la session de navigation d'un utilisateur de son appareil, au lieu de la laisser se dérouler au sein de conteneurs fermés (souvent situés dans le cloud) et automatiquement détruits à la fin de la session. En conséquence, même les attaques effectivement menées à bien par des menaces inconnues et non détectées ne peuvent réellement affecter l'appareil cible.

Toutefois, l'isolement de navigateur fait face à un ensemble de difficultés uniques qui limitent son adoption. Jusqu'à très récemment, tous les outils d'isolation de navigateur s'appuyaient sur l'une des méthodes imparfaites suivantes :

  • Diffusion par pixels : dans cette méthode, l'activité de navigation se déroule au sein d'un serveur cloud et un flux de ladite activité est diffusé sous forme de pixels vers l'appareil de l'utilisateur. Malheureusement, cette technique se révèle coûteuse en termes de puissance de calcul. Elle nécessite également une grande quantité de bande passante et la latence ajoutée nuit aux applications interactives SaaS et Internet.

  • Élimination de code (Code-Stripping) : ici, le navigateur distant élimine les logiciels malveillants de l'expérience web et transmet du code « propre » à l'utilisateur final. Cette approche nuit toutefois fréquemment à l'expérience proposée par le site web et peut manquer les vulnérabilités de type zero-day.

  • Méthode locale : avec l'approche locale, la navigation se déroule sur une machine virtuelle locale et isolée du reste du système d'exploitation de l'appareil. Malheureusement, cette méthode ralentit les appareils, ne s'applique pas aux appareils mobiles et se révèle difficile à déployer à l'échelle de l'entreprise.

En raison des défis liés à l'utilisation de ces outils d'isolation de navigateur, les entreprises ont souvent limité l'adoption de la technologie à un sous-ensemble de collaborateurs ou à un ensemble de sites à haut risque. Cette manière d'opérer assure une protection partielle, mais elle laisse également d'importantes failles de sécurité.

Chaque employé d'une entreprise peut virtuellement se retrouver victime d'une attaque par logiciel malveillant et les cybercriminels peuvent s'en prendre expressément aux collaborateurs non protégés par une solution d'isolement du navigateur. En outre, la limitation de l'isolement de navigateur à des sites spécifiques part du principe que l'entreprise peut identifier avec précision chaque site qui s'avérerait source de risques potentiels sur Internet. En réalité, les logiciels malveillants peuvent être diffusés par l'intermédiaire de contenu « de confiance », comme les fichiers partagés sur Google Docs ou OneDrive.

L'isolement de navigateur constitue une approche prometteuse en matière de sécurisation de l'accès Internet, mais les équipes chargées de l'innovation devaient encore parvenir à mettre au point une solution complète. L'extension de l'approche Zero Trust au navigateur Internet a changé la donne.

Isolation de navigateur Zero Trust

Autre approche par rapport aux technologies d'isolation de navigateur décrites ci-dessus, la stratégie d'isolement Zero Trust applique les principes du Zero Trust à l'ensemble de l'activité Internet des collaborateurs. Chaque session de navigation et chaque ligne de code web se voit ainsi traitée comme non fiable par défaut. De même, chaque utilisateur et chaque appareil accédant aux données d'une application web est considéré comme indigne de confiance par défaut.

Nous avons déjà établi que les services d'isolement de navigateur traditionnels rendaient ce niveau de rigueur impossible à tenir en pratique. Les méthodes employées se révèlent soit trop poussives pour être utilisées tout le temps, soit pas suffisamment précises pour arrêter efficacement les menaces, soit les deux.

Pour protéger chaque collaborateur de chaque menace en ligne, un service d'isolement de navigateur doit donc offrir les avantages suivants :

  • Une haute fiabilité : les sites web modernes et les applications basées sur navigateur peuvent s'avérer complexes et empêcher le fonctionnement de certaines solutions d'isolement des sessions de navigation. L'isolation de navigateur Zero Trust doit permettre aux utilisateurs de se rendre sur n'importe quel site et de profiter de la même expérience que celle proposée par un navigateur local.

  • Une latence minimale : les services de navigation à distance traditionnels sont lents et envoient une version poussive des pages web à l'utilisateur. Une solution de navigation Zero Trust moderne doit présenter une latence minimale, tout en affichant un niveau élevé de performances et de réactivité.

  • Un bon rapport qualité-prix : les services de navigation Zero Trust sont à leur maximum d'efficacité lorsqu'ils sont déployés de manière à couvrir l'ensemble des collaborateurs et des sites d'une entreprise. Ce type de déploiement nécessite une solution à la fois économique et évolutive.

  • Un contrôle précis : une solution d'isolement de navigateur doit offrir aux administrateurs un contrôle plus précis sur les données en cours d'utilisation et les activités se déroulant au sein du navigateur, comme l'impression, le copier/coller et le remplissage automatique de formulaires, afin de leur permettre de réduire encore les risques informatiques.

Il convient de garder à l'esprit de nombreuses conditions et stratégies en termes de meilleures pratiques lors du choix du prestataire d'isolation de navigateur Zero Trust avec lequel faire affaire. Les aspects essentiels de l'isolement de navigateur peuvent soutenir une mise en œuvre plus fructueuse, efficace et performante de la technologie :

  • Utilisation d'un réseau périphérique étendu : au lieu d'héberger l'isolation de navigateur au sein d'un nombre limité de datacenters dans le cloud public, procédez à leur hébergement au sein d'un réseau périphérique mondial proche des utilisateurs finaux, où qu'ils se trouvent, afin de minimiser la latence. Les services Cloudflare s'articulent autour d'un réseau couvrant plus de 250 villes et disposant d'une solution d'isolement de navigateur exécutée sur chaque serveur de chaque datacenter.

  • Ne diffuser que des commandes de traçage : plutôt que d'essayer de nettoyer le code d'un site web, la solution d'isolement de navigateur doit envoyer des commandes de traçage légères aux appareils des utilisateurs finaux, afin de leur permettre de charger et d'interagir avec les sites de manière précise, sans chargement de code. C'est précisément l'approche empruntée par Cloudflare avec sa technologie Network Vector Rendering (rendu réseau vectoriel).

  • Opter pour une technologie de navigateur native : les navigateurs à distance qui s'appuient sur une technologie déjà intégrée dans les applications courantes de navigation pour points de terminaison se montrent plus fiables et plus précis en matière de reconstruction des sites, quelle que soit leur forme. Les services Cloudflare sont compatibles avec ce type de technologie, notamment Chromium, une technologie de navigation largement utilisée à travers le monde, qui transmet des commandes de traçage légères plutôt que des flux de pixels ou du code déconstruit.

  • S'appuyer sur le cloud computing de nouvelle génération : évitez les services d'isolement de navigateurs à distance hébergés sur un cloud public, qui transmet les coûts du cloud aux utilisateurs et ajoute de la latence. Pensez également à mettre en œuvre des techniques d'informatique serverless permettant d'améliorer la virtualisation et la conteneurisation en éliminant l'orchestration et la gestion des ressources serveur sous-jacentes, afin de pouvoir utiliser ces dernières de manière plus efficace. Particulièrement puissantes, les fonctionnalités d'orchestration et de gestion des ressources serveur par Cloudflare permettent de réduire la latence ressentie par les utilisateurs finaux et doublent la vitesse de fonctionnement par rapport aux solutions d'isolement de navigateur traditionnelles.

Cloudflare s'appuie sur un énorme réseau mondial et une technologie d'isolement de navigateur brevetée pour proposer une expérience de navigation Zero Trust sans compromis sur les performances. Les entreprises peuvent ainsi découvrir la véritable valeur de l'isolation de navigateur.

Cet article fait partie de notre série consacrée aux dernières tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Principales conclusions

Cet article vous permettra de comprendre les points suivants :

  • Comment le navigateur Internet augmente l'exposition aux cyberattaques

  • Les techniques utilisées par les pirates dans le navigateur

  • Les tendances récentes en termes de vecteurs d'attaque

  • Comment atténuer les risques grâce à l'isolation de navigateur Zero Trust

RESSOURCES ASSOCIÉES


Approfondir le sujet

Afin de sécuriser votre entreprise contre les menaces liées aux navigateurs, n'hésitez pas à consulter le livre blanc Les défis courants de l'isolation de navigateur et comment les surmonter.

Obtenir le livre blanc