HTML5, des mesures de sécurité ?

Sabina75 · Le 05/01/2016, à 22:13

Bonjour,

Principalement par curiosité et par défi, j'ai modifié l'user agent de mon navigateur firefox (useragent, platform, oscpu, buildID, appname, appversion), pour ressembler à un firefox sous Windows et j'ai supprimé tous les plugins (maintenant que le HTML5 marche chez moi !) pour réduire la "surface d'attaque" comme certains disent. D'autant plus que flash 11,2,* permettait de lever la supercherie (numéro de version propre à Linux) et qu'il apparaît être bourré de failles.

Ça me permettait de réduire les risques de l'exploitation d'une faille visant spécifiquement Ubuntu via un site web malveillant, même si ça ne doit pas courir les rues. D'autant plus qu'il y a NoScript suivi d'apparmor. Mais si je voulais faire ça bien, autant aller jusqu'au bout ?!

Par contre, j'ai essayé de chercher sur Internet le principe du HTML5 pour savoir comment mettre en place des mesures préventives de sécurité et là, je ne comprends... rien ! Youtube reconnait que mon navigateur utilise le HTML5, je ne sais pas comment, et je suis incapable de savoir quoi faire pour réduire les risques, qui doivent bien exister ?

Si j'ai bien compris, le lecteur vidéo se situe coté serveur et non pas coté client ? Ça me parait un peu bizarre mais pourquoi pas, je ne suis pas assez callée...

Alors, si vous connaissez des mesures préventives de sécurité pour le HTML5, je suis preneuse.

Merci d'avance !

Kerrigan · Le 06/01/2016, à 00:04

Sabina75 a écrit :

D'autant plus que flash 11,2,* permettait de lever la supercherie (numéro de version propre à Linux) et qu'il apparaît être bourré de failles.

FlashPlayer est pleins de faille de sécurité mais ce n'est pas spécifique a la version 11.2 sous Linux, ça concerne aussi la version sous Windows, d'ailleurs en général quand il y a une mise a jour de sécurité du Flash sous linux, il y a aussi une mise a jour de Flash sous Windows (version 20 actuellement). Il n'y a pas plus de risque d'utiliser Flash sous Linux que sous Windows car je rappelle que Flash est toujours maintenu au niveau sécurité sous Linux ! les failles sont corrigé comme sous Windows ! La différence c'est juste les mises a jour de fonctionnalité de flash qui ne ce font plus sous Linux (arrêt a la 11.2) mais pas les mises a jour de sécurité !
Il ne faut pas faire de confusion entre "mise a jour de fonctionnalité" et "mise a jour de sécurité, sous Windows, il y a les mises a jour de fonctionnalité + de sécurité pour flash, sous linux il n'y a plus que les mises a jour de sécurité mais pas de fonctionnalité.

Sabina75 a écrit :

Ça me permettait de réduire les risques de l'exploitation d'une faille visant spécifiquement Ubuntu via un site web malveillant

Je crois que tu n'es pas trop au courant mais sous un système linux tu ne risques pas grand chose ! tant que tu fais pas n'importe quoi (genre ouvrir un serveur ssh sur internet non sécurisé etc...) tu n'a pas de soucis a te faire !
La seule mesure de sécurité a prendre c'est faire tes mises a jour !

Sabina75 a écrit :

Youtube reconnait que mon navigateur utilise le HTML5, je ne sais pas comment, et je suis incapable de savoir quoi faire pour réduire les risques, qui doivent bien exister ?

Tu es un peu trop "parano" lol ! Firefox gère depuis pas mal de temps le HTML5, si le FlashPlayer est installé aussi alors le navigateur est capable de lire a la fois des vidéos flash et html5 donc quand il va sur 1 site de vidéo il y a 2 solutions :
- soit le site laisse la possibilité entre html5 et flash ce qui est le cas de Youtube, dans ce cas firefox choisi automatiquement le meilleur choix c'est a dire "html5".
- soit le site n'a pas le html5, les vidéos ne sont qu'en flash, dans ce cas firefox utilise évidemment le plugin flash.

La seule différence avec avant, par exemple il y a 5 versions de firefox, c'est que même si firefox gèrait le html5 il y a 5 versions, il préviligiait toujours flash et pour utiliser le html5 il fallait soit le sélectionner manuellement (dans les options de youtube par exemple), soit supprimer flash et dans ce cas il était obligé d'utiliser html5.

Firefox est capable de lire les vidéos en HTML5 depuis longtemps ! même il y a 1 ans ! c'est juste que maintenant c'est le choix par défaut même si flash est installé (a condition biensûr que le site propose les vidéos en html5).

Pour résumer les situations :

FlashPlayer est installé :
Le site web a des vidéos 100% HTML5 (pas d'utilisation de Flash) : La vidéo est visionnable, elle sera en HTML5
Le site web a des vidéos 100% FLASH (pas d'utilisation d'HTML5) : La vidéo est visionnable, elle sera en FLASH
Le site web propose a la fois HTML5 et FLASH pour les vidéos : La vidéo est visionnable, elle sera en HTML5
FlashPlayer n'est pas installé
Le site web a des vidéos 100% HTML5 (pas d'utilisation de Flash) : La vidéo est visionnable, elle sera en HTML5
Le site web a des vidéos 100% FLASH (pas d'utilisation d'HTML5) : La vidéo n'est pas visionnable, il manque le plugin Flash
Le site web propose a la fois HTML5 et FLASH pour les vidéos : La vidéo est visionnable, elle sera en HTML5

Malheureusement, le cas le plus courant c'est des vidéos 100% Flash (donc flash obligatoire pour être visionné) bien que ça ne soit pas le cas du plus gros site de vidéo (youtube).

Dernière modification par Kerrigan (Le 06/01/2016, à 00:19)

Sabina75 · Le 06/01/2016, à 08:37

Merci pour ta réponse. Non, ce n'est pas de la paranoïa, c'est un challenge. En fait, ma logique, c'est celle-ci : chercher la petite bête, d'essayer de se mettre à la place du hacker pour essayer de trouver par où pirater... Parce que c'est amusant !

Si j'ai voulu maquiller mon navigateur, ce n'est pas parce que flash windows aurait été exempt de failles, mais parce que je suis partie du principe qu'une faille sur flash windows ou linux ne peut pas fonctionner de la même façon pour toucher le système d'exploitation. En d'autres termes, pour exploiter une faille flash universellement depuis un site malveillant, il faudrait que ce site adapte l'exploit au système d'exploitation, et donc qu'il reconnaisse à quel navigateur il a à faire. C'est à dire qu'une faille exploitée pour windows ne pourra pas faire grand chose sur ubuntu. Ça tapera à coté.

Je n'oublie pas non plus le chiffre faramineux d'ordinateurs zombies dans le monde qui servent à des botnets. Et même si ça doit principalement toucher des ordinateurs sous windows et que je n'ai pas tendance à aller sur des sites peu recommandables, j'ai pas envie que le mien en fasse partie un jour parce que je ne me serais pas amusée assez longtemps avec la sécurisation de mon ordinateur.

MicP · Le 06/01/2016, à 08:45

Vu le sujet, je t'invite aussi à aller voir de temps en temps les alertes qui sont diffusées sur http://www.cert.ssi.gouv.fr/

tiramiseb · Le 06/01/2016, à 23:53

Par contre, j'ai essayé de chercher sur Internet le principe du HTML5 pour savoir comment mettre en place des mesures préventives de sécurité et là, je ne comprends... rien ! Youtube reconnait que mon navigateur utilise le HTML5, je ne sais pas comment, et je suis incapable de savoir quoi faire pour réduire les risques, qui doivent bien exister ?

Réduire quels risques ? HTML5, c'est juste la dernière version du langage HTML, utilisé sur le web.
Je ne pense pas que c'est YouTube qui "reconnaît" que ton navigateur supporte HTML5. Je crois surtout que YouTube fournit la page en HTML5 et, si ça ne fonctionne pas, retombe sur Flash...

Si j'ai bien compris, le lecteur vidéo se situe coté serveur et non pas coté client ? Ça me parait un peu bizarre mais pourquoi pas, je ne suis pas assez callée...

Non, le lecteur vidéo est côté client...

Sabina75 · Le 07/01/2016, à 08:25

Quels risques ? Si le lecteur vidéo est du coté client, il doit bien y avoir des risques d'exploiter les failles de ce lecteur vidéo. Si flash a été bourré de failles, il n'y a pas de raison que le lecteur vidéo "natif" du navigateur ne le soit pas.

Partant de là, effectivement, quels sont les mesures à mettre en place pour réduire les risques ? Par exemple, NoScript permet de n'activer flash que sur les sites de confiance, c'était une mesure de sécurité. Ici, je ne vois pas trop quoi faire.

Dernière modification par Sabina75 (Le 07/01/2016, à 08:28)

tiramiseb · Le 07/01/2016, à 08:29

Si flash a été bourré de failles, il n'y a pas de raison que le lecteur vidéo "natif" de firefox ne le soit pas.

Sauf que Flash n'est pas « un lecteur vidéo ». Flash est un truc qui fait plein de choses, avec un langage de scripting intégré, et tout ça maintenu par une seule équipe d'une seule société.

Si tu pars de ce principe, alors ne va pas sur Internet : Si flash a été bourré de failles, li n'y a pas de raison que Firefox ne le soit pas.

Partant de là, effectivement, quels sont les mesures à mettre en place pour réduire les risques ?

Ne pas se connecter.

Sabina75 · Le 07/01/2016, à 08:32

Je suis sûre qu'il y a d'autres points de vue que le tien.

tiramiseb · Le 07/01/2016, à 08:39

Je ne comprends pas ce que tu cherches à faire.

Pour Flash, c'est le site sur lequel tu vas qui te fournit un truc qui est interprété sur ton ordinateur. Les failles de Flash sont liées au fait que tu exécutes localement quelque chose que tu as téléchargé sur un site quelconque : il ne s'agit pas d'exploiter une faille liée au décodage de la vidéo mais de te faire exécuter n'importe quoi sur ta machine.
C'est bien là toute la controverse autour de Flash.

Le lecteur vidéo natif, il attend uniquement une vidéo : le navigateur ne télécharge aucun exécutable sur le site que tu visites, uniquement la vidéo à lire. Donc la surface d'attaque à ce niveau est réduite au minimum. On ne peut pas améliorer la sécurité de ce truc, à part en le désactivant.

La seule chose "exécutable" que tu télécharges alors, c'est le code HTML5. Et là, on est au cœur du navigateur lui-même. Donc si faille il y a (et nul doute que des failles vont être découvertes), ce sera dans Firefox lui-même. Donc la seule solution pour qu'une hypothétique faille dans l'interpréteur HTML5 ne soit jamais exploitée, c'est de ne pas utiliser l'interpréteur HTML5, donc de ne pas utiliser de navigateur web, donc ne pas aller sur le web.

Il ne s'agit pas d'un point de vue, il s'agit d'un fait.

Dernière modification par tiramiseb (Le 07/01/2016, à 08:39)

Sabina75 · Le 07/01/2016, à 09:01

Non, penser que le mieux est de ne pas se connecter, c'est un point de vue. Et ceci est un fait.

Le reste est peut-être un fait, je vais regarder. Merci pour les informations techniques complémentaires.

tiramiseb · Le 07/01/2016, à 09:31

Non, penser que le mieux est de ne pas se connecter, c'est un point de vue

Non non. En terme de sécurité des réseaux, la meilleure sécurisation c'est de ne pas se connecter.
C'est un fait, c'est aussi une blague récurrente parmi les professionels, quand on nous demande « que faire pour être sûr de ne pas être piraté »...
Et pourtant c'est un précepte que certains devraient quand même mettre en œuvre, je pense par exemple àcertaines centrales électriques qui ont été piratées... Je n'arrive pas à concevoir qu'il existe le moindre chemin entre Internet et les équipements qui contrôlent une centrale électrique...
D'ailleurs, il y a encore plus sécurisé qu'un ordinateur non connecté : c'est un ordinateur éteint.

Sabina75 · Le 07/01/2016, à 18:52

Loool, si, tu confonds point de vue et fait. Et bien en plus. Tu connais l'absolutisme ?

Sinon, le reste est intéressant, je vais fouiller ça. Merci.

Sabina75 · Le 07/01/2016, à 19:05

La question que je me posais est celle-ci :

http://www.tomshardware.fr/articles/vlc … 55319.html

Est-ce qu'un fichier vidéo corrompu permet de détourner les fonctions du lecteur natif du navigateur comme suggéré pour VLC et de passer la sécurité d'apparmor ?

Dernière modification par Sabina75 (Le 07/01/2016, à 19:06)

tiramiseb · Le 07/01/2016, à 19:37

Loool, si, tu confonds point de vue et fait. Et bien en plus. Tu connais l'absolutisme ?

L'absolutisme ? Je ne vois pas le rapport.

Prenons A une machine connectée à Internet.
Prenons B une machine non connectée.

La seule réponse valable à la question « Laquelle des deux machines est la plus susceptible d'être exploitée au travers d'une faille du navigateur web ? » est « la machine A ». C'est un fait, pas un point de vue.
Ce serait un point de vue si on pouvait dire « ça dépend ». Mais là ça ne dépend pas : machine non connectée = machine qui n'est pas joignable = machine qui ne peut pas être attaquée.

Est-ce qu'un fichier vidéo corrompu permet de détourner les fonctions du lecteur natif du navigateur

Il y a toujours moyen d'exploiter des failles, dans plein de choses. Mais la surface d'attaque est réduite au minimum, le risque est vraiment ultra faible.

Tu peux toujours désactiver la lecture de vidéos dans Firefox :
http://www.trishtech.com/2012/04/disabl … a-firefox/

... mais bon, ça n'apporte à mon sens rien en terme de sécurité, étant donnée la complexité d'une telle attaque.

Sabina75 · Le 07/01/2016, à 20:11

Un point de vue, si. Tu n'y arrives pas, hein ?! Même en tordant le truc dans tous les sens. C'est pas la fin du monde, ceci dit.

Je vais continuer à fouiller. Je suppose que des add-on comme NoScript prendront en compte ces risques, avec des listes blanches, etc.

http://www.developer-tech.com/news/2015 … ger-issue/

tiramiseb · Le 07/01/2016, à 21:52

Bien sûr, c'est le professionnel expert en sécurité informatique qui a tort quand il s'agit de parler de sécurité informatique, hein...

...

Concernant le lien que tu donnes, ça n'a absolument rien à voir avec la lecture de vidéos.

En effet, avec les webapps en javascript il y a des problématiques de sécurité à prendre en compte. Là il ne s'agit pas nécessaire d'exploitation de failles, mais simplement de fonctionnalités standard du langage. C'est comme si on téléchargeais un logiciel, du coup il faut être précautionneux. Pour ça, Noscript est en effet une solution.
Pour ma part je ne m'inquiète pas pour ça car je ne traîne pas n'importe où, mais ce n'est pas le cas de tout le monde

Sabina75 · Le 07/01/2016, à 22:08

Tu es sûr d'être encore dans le sujet ?

Sans transition, j'ajoute un lien : http://www.infoworld.com/article/295619 … s-own.html

Among the risks that HTML5 brings, according to Bellanger:
- Canvas image-rendering exploits, which can cause buffer overflows that a hacker could then use to inject code into the session
- Cross-site scripting, where intruders can steal information from a session in the browser
- SQL injection, where a malicious query is used to extract information from a database in the browser
- Cross-site request forgeries, where a user token is taken over to impersonate a user on the Web
The use of HTML5 also exposes more of what's on the computer or mobile device, such as local storage and device location, says Dan Cornell, CTO of cyber security consultancy Denim Group. "Because HTML5 applications can access these facilities, there is an opportunity for abuse," he says.

NoScript bien réglé devrait donc donner un peu d'avance, tout en désactivant le localstorage ?

Dernière modification par Sabina75 (Le 07/01/2016, à 22:38)

tiramiseb · Le 07/01/2016, à 22:19

D'une part ces trucs ne sont pas liés explicitement à HTML5 mais à HTML de manière générale.
D'autre part ce ne sont pas que des failles permettant de "pénétrer" ta machine.
NoScript il n'y a pas grand chose à régler : tu bloques le javascript et voilà. Mais ça ne protège pas de l'exploitation de failles canvas, ça ne protège pas contre les injections SQL et ça ne protège pas contre les CSRF.
Mais tout ça, c'est des problématiques gérées par les webmasters : pour que ça soit exploité, soit tu vas volontairement sur des sites louches, soit le site que tu visites a été piraté...

Sabina75 · Le 07/01/2016, à 22:58

tiramiseb a écrit :

NoScript il n'y a pas grand chose à régler : tu bloques le javascript et voilà.

Ah bon ?

tiramiseb a écrit :

Mais ça ne protège pas de l'exploitation de failles canvas, ça ne protège pas contre les injections SQL et ça ne protège pas contre les CSRF.

Dans ces conditions là, non, c'est sur.

tiramiseb a écrit :

Mais tout ça, c'est des problématiques gérées par les webmasters : pour que ça soit exploité, soit tu vas volontairement sur des sites louches, soit le site que tu visites a été piraté...

Il y a peu, j'ai exploité une faille sur phpbb qui m'a permise de renvoyer vers un site "louche" (mon site). Faille gentille. La seule feinte, c'était soit de ne pas cliquer sur mon lien (j'ai utilisé du social engineering), soit de cocher la case "iframe" dans les préférences de NoScript. Et d'ailleurs, lors de mes essais, ça ne fonctionnait pas chez moi car justement, j'avais réglé NoScript.

Ceci justifiant cela.

tiramiseb · Le 07/01/2016, à 23:11

une faille sur phpbb

Faille côté serveur, donc erreur du webmaster qui n'a pas mis à jour son machin... malheureusement trop courant...

Sabina75 · Le 07/01/2016, à 23:20

Une zéro day. (ma 3eme sur phpbb)

Dernière modification par Sabina75 (Le 07/01/2016, à 23:23)

tiramiseb · Le 07/01/2016, à 23:23

En même temps, phpbb.........

Sabina75 · Le 07/01/2016, à 23:27

Oui, effectivement. La plus grave étant encore valable sur feu openbb.

nam1962 · Le 07/01/2016, à 23:28

Sabina75 a écrit :

(...)En fait, ma logique, c'est celle-ci : chercher la petite bête, d'essayer de se mettre à la place du hacker pour essayer de trouver par où pirater... Parce que c'est amusant !
(...)

Alors teste toi avec ce que j'indique là --> ./viewtopic.php?pid=21198771#p21198771

Sinon, sur FF, pense à mettre les extensions betterprivacy, ublock origin et éventuellement noscript.

Dernière modification par nam1962 (Le 07/01/2016, à 23:28)

Sabina75 · Le 07/01/2016, à 23:48

Merci. Le premier test ne fonctionne pas (aucun scan). Le second est OK. Le troisième est bloqué par mon navigateur et enfin le dernier ne détecte aucun add-on ou plugin (J'ai noscript, smartreferer, httpseverywhere, canvasblocker et adblockplus. Et tous les plugins ont été supprimés).

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 05/01/2016, à 22:13

HTML5, des mesures de sécurité ?

#2 Le 06/01/2016, à 00:04

Re : HTML5, des mesures de sécurité ?

#3 Le 06/01/2016, à 08:37

Re : HTML5, des mesures de sécurité ?

#4 Le 06/01/2016, à 08:45

Re : HTML5, des mesures de sécurité ?

#5 Le 06/01/2016, à 23:53

Re : HTML5, des mesures de sécurité ?

#6 Le 07/01/2016, à 08:25

Re : HTML5, des mesures de sécurité ?

#7 Le 07/01/2016, à 08:29

Re : HTML5, des mesures de sécurité ?

#8 Le 07/01/2016, à 08:32

Re : HTML5, des mesures de sécurité ?

#9 Le 07/01/2016, à 08:39

Re : HTML5, des mesures de sécurité ?

#10 Le 07/01/2016, à 09:01

Re : HTML5, des mesures de sécurité ?

#11 Le 07/01/2016, à 09:31

Re : HTML5, des mesures de sécurité ?

#12 Le 07/01/2016, à 18:52

Re : HTML5, des mesures de sécurité ?

#13 Le 07/01/2016, à 19:05

Re : HTML5, des mesures de sécurité ?

#14 Le 07/01/2016, à 19:37

Re : HTML5, des mesures de sécurité ?

#15 Le 07/01/2016, à 20:11

Re : HTML5, des mesures de sécurité ?

#16 Le 07/01/2016, à 21:52

Re : HTML5, des mesures de sécurité ?

#17 Le 07/01/2016, à 22:08

Re : HTML5, des mesures de sécurité ?

#18 Le 07/01/2016, à 22:19

Re : HTML5, des mesures de sécurité ?

#19 Le 07/01/2016, à 22:58

Re : HTML5, des mesures de sécurité ?

#20 Le 07/01/2016, à 23:11

Re : HTML5, des mesures de sécurité ?

#21 Le 07/01/2016, à 23:20

Re : HTML5, des mesures de sécurité ?

#22 Le 07/01/2016, à 23:23

Re : HTML5, des mesures de sécurité ?

#23 Le 07/01/2016, à 23:27

Re : HTML5, des mesures de sécurité ?

#24 Le 07/01/2016, à 23:28

Re : HTML5, des mesures de sécurité ?

#25 Le 07/01/2016, à 23:48

Re : HTML5, des mesures de sécurité ?

Pied de page des forums