Imaginons que vous soyez un affreux pirate qui veut infecter une machine avec un spyware de votre invention. Comment vous y prendriez-vous ?

Oulah, se dit le lecteur de base, encore un article technique, fuyons !. Pour éviter une telle fuite, je vous propose d'utiliser une métaphore.

Imaginons donc que vous êtes un cambrioleur pressé qui souhaite s'introduire discrètement et sans violence dans une maison. Pour cela, hors de question de percer un mur ou de passer des heures à essayer de trouver le code de la porte. Après tout, il y a des millions de maisons dans le monde : pourquoi s'acharner sur une maison bien protégée alors qu'il y a plus vulnérable à proximité ?

La méthode la plus simple et la plus rapide consiste... à passer par la porte !

  1. Certaines portes ont de vieux modèles de serrure. En forçant un peu, ça s'ouvre tout seul. Malheureusement pour la profession de cambrioleur (et heureusement pour les habitants), c'est de plus en plus rare.
  2. Certaines portes sont équipées de serrures ouvrant avec des passe-partout. Par exemple, les postiers, les agents EDF sont équipés de tels passe-partout. Ils peuvent ouvrir ces portes, pour peu qu'ils soient habilités officiellement à le faire.
  3. Certaines portes sont bien fermées, mais pour pénétrer, il suffit de convaincre l'habitant qu'il est nécessaire d'ouvrir. C'est une méthode bien connue des monte-en-l'air qui abusent de la crédulité des personnes âgées et en profitent pour les détrousser.

Revenons à la première possibilité. Tout habitant responsable s'assure que ses serrures sont de bonne qualité, surtout si le fabricant signale qu'il y a un problème et propose un échange gratuit. Sortons un instant de la métaphore. La porte, c'est votre navigateur. Son téléchargement est gratuit. Vous avez bien mis à jour votre navigateur, donc. Vous êtes sous Internet Explorer ? Vous avez la dernière version ? Vous êtes sous Firefox, donc vous avez installé la version 1.0.2 (à l'heure où j'écris ces lignes), n'est-ce pas ?

Deuxième possibilité : vous avez une porte équipée d'un passe-partout. Il en existe plusieurs modèles. Elles ont pour objectif de laisser quelqu'un rentrer chez vous pour vous offrir un service relevé des compteurs de gaz, d'electricité, vérification de la pomberie, du téléphone, du déconneur Canal+.... Passons en revue ces modèles d'ouverture de porte :

  • ActiveX - permet à la personne de rentrer sans prévenir et de faire tout ce qu'elle veut chez vous, à condition de laisser une copie de sa carte d'identité (parfois contrefaite) avant de repartir [1] ;
  • Java - ne rentre pas chez vous sauf si vous lui en donnez spécifiquement l'autorisation. Vous pouvez aussi lui demander une pièce d'identité avant qu'il ne rentre ;
  • Plug-in ; Entre chez vous une fois si vous êtes d'accord ;
  • Extension Firefox (aussi connu nous le nom de XPI) - entre chez vous si vous donnez votre accord. Il est possible (quoique peu courant) d'exiger une pièce d'identité.

Donc pour être en sécurité, il vaut mieux bloquer sa porte aux ActiveX, c'est une évidence. Est-ce une méthode suffisante pour être en sécurité ? Sûrement pas. Il faut aussi s'assurer qu'on ne laisse pas rentrer des gens par négligence. C'est du simple bon sens.

Quelques règles découlent de cela :

  • Avoir un navigateur qui ne supporte pas ActiveX est un plus en terme de sécurité, mais ça n'est en aucun cas une solution suffisante ;
  • Il ne faut jamais laisser quelqu'un rentrer sans être certain de sa qualité et qu'on a vraiment besoin de lui. Dans le doute, abstiens-toi, dit le proverbe, et il a raison.
  • Refuser les entrées par la porte Java et accepter celles par la porte XPI est un non sens. Donc, quand on installe une extension, on s'assure qu'elle a bonne réputation, qu'elle provient du site update.mozilla.org, par exemple, et pas d'un site quelconque.
  • Quand on visite une page Web quelconque et qu'une fenêtre s'ouvre en vous demandant si vous acceptez d'installer quoi que ce soit (Java, Plug-in, XPI), on refuse ! 99 fois sur cent, c'est une arnaque, d'autant que les principaux plug-ins sont sûrement déjà installé sur votre machine...

Voilà, vous en savez un tout petit peu plus sur la problématique de la protection contre les cambrioleurs. (C'est en fait bien plus compliqué que cela, mais j'ai simplifié pour rester compréhensible par tous).

Pourquoi je vous raconte tout cela ? Pour deux raisons :

Tout d'abord, on voit bien que ça n'est pas seulement la technologie qui peut protéger l'utilisateur. Ce dernier doit faire attention à la façon dont il utilise la technologie. Chez Mozilla, on fournit des portes navigateurs. En fabricants responsables, on s'assure qu'elles aient le moins de défaut possibles. On fait attention à ce que vous n'ayez pas tendance à les ouvrir par mégarde à des gens peu scrupuleux. Mais finalement, c'est quand même vous qui avez le contrôle !

Enfin, si on vous laisse entendre que la serrure XPI n'est pas fiable sous prétexte qu'il a été cambriolé par quelqu'un à qui il avait volontairement ouvert la serrure Java, alors vous saurez qu'on vous raconte des calembredaines !

Notes

[1] Notons qu'il est possible de condamner les portes ActiveX, ce qui est recommandé.