L'audit a été effectué à l'aide de règles détaillées dans une directive pour les « navigateurs sécurisés modernes » publiée par le BSI le mois dernier, en septembre 2019.
La BSI utilise normalement ce guide pour conseiller les agences gouvernementales et les entreprises du secteur privé sur les navigateurs sécurisés. L'agence allemande de cybersécurité a publié une première directive relative aux navigateurs sécurisés en 2017, mais a revu et mis à jour les spécifications au cours de l'été.
La BSI a mis à jour son guide afin de prendre en compte les mesures de sécurité améliorées ajoutées aux navigateurs modernes, telles que HSTS, SRI, CSP 2.0, la gestion de la télémétrie et des mécanismes améliorés de gestion des certificats.Selon le nouveau guide de la BSI, pour être considéré comme « sécurisé », un navigateur moderne doit satisfaire à ces exigences minimales :
- doit prendre en charge TLS ;
- doit avoir une liste de certificats de confiance ;
- doit prendre en charge les certificats de validation étendue (EV) ;
- doit vérifier les certificats chargés par rapport à une liste de révocation de certification (CRL) ou à un protocole OCSP (Online Certificate Status Protocol) ;
- le navigateur doit utiliser des icônes ou des couleurs vives pour indiquer le moment où les communications avec un serveur distant sont chiffrées ou en texte clair ;
- les connexions aux sites Web distants exécutés avec des certificats arrivés à expiration ne doivent être autorisées qu'après accord de l'utilisateur ;
- doit prendre en charge la sécurité du transport strict HTTP (HSTS) (RFC 6797) ;
- doit prendre en charge la politique de même origine (SOP) ;
- doit prendre en charge la politique de sécurité du contenu (CSP) 2.0 ;
- doit prendre en charge l'intégrité des sous-ressources (SRI) ;
- doit prendre en charge les mises à jour automatiques ;
- doit prendre en charge un mécanisme de mise à jour distinct pour les composants et extensions cruciaux du navigateur ;
- les mises à jour du navigateur doivent être signées et vérifiables ;
- le gestionnaire de mots de passe du navigateur doit stocker les mots de passe sous une forme chiffrée ;
- l'accès au coffre-fort de mots de passe intégré au navigateur ne doit être autorisé qu'après que l'utilisateur a entré un mot de passe principal ;
- l'utilisateur doit pouvoir supprimer les mots de passe du gestionnaire de mots de passe du navigateur ;
- les utilisateurs doivent pouvoir bloquer ou supprimer les fichiers témoins ;
- les utilisateurs doivent pouvoir bloquer ou supprimer l'historique de saisie semi-automatique ;
- les utilisateurs doivent pouvoir bloquer ou supprimer l'historique de navigation ;
- les administrateurs d'organisation doivent être en mesure de configurer ou d'empêcher les navigateurs d'envoyer des données de télémétrie / d'utilisation ;
- les navigateurs doivent prendre en charge un mécanisme permettant de rechercher des contenus / URL nuisibles ;
- les navigateurs devraient permettre aux organisations d’exécuter des listes noires d’URL stockées localement ;
- doit prendre en charge une section de paramètres dans laquelle les utilisateurs peuvent activer / désactiver les plug-ins, les extensions ou JavaScript ;
- les navigateurs doivent pouvoir importer des paramètres de configuration créés de manière centralisée, idéal pour les déploiements d'entreprise à grande échelle ;
- doit permettre aux administrateurs de désactiver les fonctionnalités de synchronisation de profil dans le cloud ;
- doit être exécuté après son initialisation avec des droits minimaux sur le système d'exploitation ;
- doit prendre en charge le sandboxing. Tous les composants du navigateur doivent être isolés les uns des autres et du système d'exploitation. La communication entre les composants isolés ne peut s'effectuer que via des interfaces définies. L'accès direct aux ressources de composants isolés ne doit pas être possible ;
- les pages Web doivent être isolées les unes des autres, idéalement sous la forme de processus autonomes. L'isolation au niveau des threads est également autorisée ;
- les navigateurs doivent être codés à l'aide de langages de programmation prenant en charge les protections de mémoire de pile et de tas ;
- le fournisseur de navigateur doit fournir des mises à jour de sécurité au plus tard 21 jours après la publication d'une faille de sécurité. Si le fournisseur de navigateur principal ne fournit pas de mise à jour de sécurité, les entreprises doivent passer à un nouveau navigateur ;
- les navigateurs doivent utiliser des protections de la mémoire du système d'exploitation telles que la randomisation du format d'espace d'adresse ou la prévention de l'exécution des données (DEP) ;
- les administrateurs d'organisation doivent être en mesure de réglementer ou de bloquer l'installation de modules complémentaires / extensions non autorisés.
Selon la BSI, Firefox est le seul navigateur à prendre en charge toutes les exigences ci-dessus. Les domaines dans lesquels d'autres navigateurs ont échoué sont les suivants:
- manque de prise en charge d'un mécanisme de mot de passe principal (Chrome, IE, Edge)
- pas de mécanisme de mise à jour intégré (IE)
- aucune option pour bloquer la collecte de télémétrie (Chrome, IE, Edge)
- pas de support SOP (Same Origin Policy) (IE)
- pas de support CSP (Content Security Policy) (IE)
- pas de support SRI (Subresource Integrity) (IE)
- pas de support pour les profils de navigateur, différentes configurations (IE, Edge)
- manque de transparence organisationnelle (Chrome, IE, Edge)
Source : BSI
Et vous ?
Que pensez-vous de la liste des exigences minimales requises dressée par la BSI ?
Êtes-vous surpris des résultats ?
Quel navigateur utilisé vous (au bureau, à domicile) ?
Qu'est-ce qui vous a principalement orienté vers ce choix ?
Cet audit est-il susceptible de vous faire vous tourner vers Firefox ?
Voir aussi :
Cloudflare, Google Chrome et Firefox ajoutent le support HTTP/3, donnant ainsi un coup de pouce dans l'adoption rapide de la prochaine version du protocole HTTP
Ungleich : désactivez Firefox DNS-over-HTTPS (DoH), maintenant, car c'est très mauvais pour nous tous, à bien des égards
Firefox chiffrera les requêtes de noms de domaine Web par défaut rendant vos habitudes en ligne plus privées et sécurisées, en activant le DNS-over-HTTPS à partir de fin septembre, a annoncé Mozilla
Firefox 69.0 débarque avec le blocage des traceurs et des mineurs de cryptomonnaies par défaut et propose le blocage de la lecture automatique des médias