C'est peut-être paranoïaque, mais si je visite un site Web malveillant, peuvent-ils dire ce qu'il y a dans un PDF sur mon bureau ou dans mes images sur mon disque dur?
J'ai un Chromebook et une machine Windows.
C'est peut-être paranoïaque, mais si je visite un site Web malveillant, peuvent-ils dire ce qu'il y a dans un PDF sur mon bureau ou dans mes images sur mon disque dur?
J'ai un Chromebook et une machine Windows.
Réponses:
C'est peut-être paranoïaque, mais si je vais sur un site Web qui n'est peut-être pas sûr à 100%, peuvent-ils dire ce qu'il y a dans le fichier PDF de mon bureau de disque dur ou dans mes images sur mon disque dur?
En général, à moins que vous ne leur donniez explicitement accès à votre disque dur - ou à des documents sur votre disque dur -, non, un site Web non sécurisé ne pourra accéder à rien.
Cela dit (et en soulignant cela pour le rendre clair) il y a en effet des exploits incroyablement rares - et ésotériques - du «jour zéro» qui pourrait être préoccupant dans certains cas extrêmes . Mais en général, en tant qu’utilisateur final, vous devez vous permettre de permettre à un site Web d’avoir accès aux documents de votre système. Tant que votre système d'exploitation est corrigé et que les navigateurs sont à jour, vous êtes en sécurité. Et même dans les cas où vous n'êtes pas corrigé et mis à niveau (et soulignez encore ceci pour que ce soit clair) le risque est encore incroyablement faible .
La seule préoccupation avec un site Web qui «pourrait ne pas être 100% sécurisé (comme le disait la question initiale et je suppose que HTTPS versus HTTP simple) est que lorsque vous transmettez des données en retour, HTTPS est crypté et HTTP n'est pas crypté.
Le risque est alors que si vous tapez quelque chose sur le site via un formulaire, par exemple, si le site est en HTTP simple, les données que vous transmettez sont simplement du texte clair que toute personne possédant un renifleur de paquet a la potentiel lire. Mais c'est au mieux une mince chance.
Comme si vous êtes sur un réseau Wi-Fi public connu, alors peut-être que quelqu'un est sur ce réseau avec potentiellement capturer des paquets et pourrait ainsi détecter ce que vous tapez.
Un site Web "non sécurisé" ne constitue vraiment un problème que si vous leur envoyez des données ou si vous téléchargez un élément dudit site Web qui exécutera du code sur votre système.
De par leur conception, les navigateurs ne le permettent pas, mais il existe toujours la possibilité qu’un bogue puisse être exploité pour obtenir un plus haut niveau d’accès à votre système. Ces bogues sont assez rares et sont toujours résolus très rapidement. Il s'agit donc d'un problème si votre système d'exploitation ou votre navigateur est obsolète. Ces deux mises à jour automatiques maintenant, ne désactivez pas les mises à jour automatiques et vous pouvez être assuré d'un niveau de protection assez élevé contre les sites Web malveillants.
Si vous utilisez votre ordinateur pour visiter un site Web non approuvé, vous utilisez un logiciel de navigation sur votre ordinateur pour lancer des requêtes Web (protocole HTTP ou HTTPS) afin de recevoir des données de l'ordinateur distant. Dans ce modèle simple, l’ordinateur distant n’a absolument aucun accès à votre ordinateur, mais ... les navigateurs ont des fonctionnalités qui compliquent cette image.
Les navigateurs modernes ont une fonctionnalité qui vous permet de télécharger des fichiers depuis votre ordinateur. Un site Web peut inclure un formulaire qui utilise cette fonctionnalité. Cette fonctionnalité ne fait pas donnez au site une vue sur votre ordinateur. Lorsque votre navigateur traite un tel formulaire, il vous présente un contrôle de sélection de fichier. votre navigateur peut voir les fichiers sur votre ordinateur et, lorsque vous effectuez une sélection, votre navigateur envoie le contenu de ce fichier, et uniquement de ce fichier au système distant. Le fonctionnement de cette fonctionnalité laisse penser que le site Web peut voir des fichiers sur votre ordinateur quand il ne le peut pas.
Tous les navigateurs modernes ont des moteurs JavaScript intégrés. Le site Web peut inclure du code JavaScript destiné à être exécuté par votre navigateur. Lorsque le navigateur reçoit du code JavaScript dans une page, il l'exécutera automatiquement. JavaScript est normalement utilisé pour améliorer l'expérience utilisateur. il a certaines capacités et certaines limitations. Le moteur JavaScript ne peut pas "voir" sur votre ordinateur. Il ne peut pas voir vos fichiers ni ce qui peut se passer dans d'autres programmes, mais il peut demander au navigateur de charger d'autres fichiers du même site - images, pages, etc. JavaScript peut faire que le navigateur tente au moins de télécharger et d’exécuter un programme qui peut avoir un meilleur accès à votre système ou un meilleur contrôle sur celui-ci. Bien que JavaScript soit limité dans ce qu'il peut faire sur votre ordinateur, il est néanmoins possible pour un programmeur malveillant de se servir de JavaScript pour inciter un utilisateur peu méfiant à télécharger un programme plus performant et malveillant.
TL; DR: un site Web non fiable ne peut pas voir par lui-même dans votre ordinateur. Mais un site peut essayer de vous amener à télécharger et à exécuter des logiciels malveillants. Un tel logiciel pourrait potentiellement faire quelque chose sur votre ordinateur. Votre navigateur ne doit pas télécharger automatiquement ce logiciel; à tout le moins, cela devrait nécessiter votre acceptation explicite. Un site Web malveillant pourrait toutefois tenter de vous amener à donner une telle acceptation.
C’est la raison pour laquelle les utilisateurs avertis ont des extensions de navigateur qui désactivent les scripts à tout moment, à l’exception des sites Web explicitement inscrits sur la liste blanche qui en ont besoin, et qui contrent de nombreuses autres attaques telles que la falsification de requêtes intersites et autres.
Les exploits permettant l'exécution de code à distance ou l'accès aux fichiers locaux sont publiés presque tous les mois. Deux exemples récents pour un navigateur bien connu sont 1 et 2 . Des exemples pour un autre navigateur bien connu sont 3 et 4 .
(Les vulnérabilités ci-dessus sont des vulnérabilités aléatoires que j'ai choisies sans aucune raison évidente. Elles sont également corrigées des versions les plus récentes, à ma connaissance.)
Les attaques de navigateur peuvent non seulement permettre à un site Web d'accéder à des fichiers, elles peuvent en principe permettre au site Web de prendre en charge votre ordinateur, dans le pire des cas. Le problème ne se limite pas aux navigateurs, consultez la page Vulnérabilité des appels vidéo WhatsApp pour un exemple récent. Il y a environ un an, un exploit appartenant à une série de routeurs DSL largement déployée permettait à un site Web malveillant de reprendre votre routeur même en présence d'un mot de passe, si seulement vous avez visité le site Web à partir de votre ordinateur.
Le niveau de stupidité nécessaire pour qu'une attaque réussisse varie. Pour certaines attaques, l'utilisateur final doit être vraiment, vraiment stupide. Pour certaines attaques, l'utilisateur ne doit être qu'un peu inconscient pendant une fraction de seconde. Et certaines attaques fonctionneront même si l'utilisateur ne fait rien de stupide tant que certaines conditions sont remplies.
En général, un site Web ne peut pas accéder aux fichiers de votre disque dur ni à leurs méta-informations. Néanmoins, vous devez être conscient de quelques choses: