Sécuriser Internet Explorer
Internet Explorer est un composant intégré à l'environnement Windows, l'explorateur de fichiers utilisent des composants d'Internet Explorer, Outlook Express et Windows Media Player aussi. Changer des paramètres affectent aussi ces programmes. Faites donc attention aux modifications que vous faites.
Régulièrement, des failles de sécurités pour Internet Explorer sont publiées, ne pas installer les correctifs rendent les programmes utilisant des composants d'Internet Explorer vulnérables.
Voici un article qui va vous aider à configurer Internet Explorer pour le rendre plus sécurisé.
Les zones de sécurités sont la
première défense dans Internet Explorer. Il
existe 4 zones :
Il existe une cinquième zone celle de votre ordinateur (My Computer), elle est par défaut non configurable. Les contrôles ActiveX qui sont installés sur votre ordinateur par Windows fonctionnent dans cette zone. Les sites qui référencent des fichiers de votre ordinateur fonctionnent aussi dans cette zone, les fichiers que vous sauvez d'internet continue de fonctionner dans la zone de sécurité attachée à ce site.
Concrètement : Si vous téléchargez un programme comme Adobe Acrobat, vous téléchargez son programme d'installation. Lorsque vous executez ce fichier, celui-ci tournera dans la Zone internet (sauf si vous avez mis Adobe dans la zone restreinte ou zone de confiance). Une fois le programme installé, lorsque vous allez démarrer Acrobat, celui-ci fonctionnera dans la zone My Computer. Si Adobe installe un fichier qui est ouvert par Internet Explorer, par exemple ReadMe.html, celui-ci fonctionnera aussi dans la zone My Computer.
Dans Windows XP SP2, cette zone est maintenant une zone de haute sécurité. N'importe quelle entité qui utilise un Active Scripting ou qui charge des contrôles ActiveX est interdit sauf si l'utilisateur l'a explicitement permis en cliquant sur la barre d'information. Comme cela peut interférer avec des applications WEB fonctionnant dans un réseau local, les developpeurs peuvent ajouter une "Mark of the Web" pour faire fonctionner les fichiers dans la zone intranet local au lieu de la zone My Computer". Pour plus d'informations, consultez http://msdn.microsoft.com.
Pour
assigner une zone à un site, ouvez les options internet dans
les
menu d'Internet Explorer ou dans le panneau de configuration.
La zone intranet local inclus :
Pour supprimer une ou plusieurs de ces catégories de l'intranet local, sélectionnez Intranet local dans l'onglet "sécurité" des "options internet", cliquez ensuite sur "Sites...". Décochez la catégorie qui vous interresse et cliquez sur OK
Ajouter ou supprimer un site d'une zone
Sélectionnez la zone qui vous interresse et
cliquez
sur
"Sites...". Tapez ou copier coller l'adresse du site dans le champs
"Ajouter un site dans à cette zone" et cliquez sur le bouton
"Ajouter". Le site apparaît alors dans la liste "Site
Web".
Pour supprimer un site, sélectionnez le dans la liste et
cliquez sur le bouton "Supprimer"
Notes:
Conseil: Surveillez votre zone de confiance régulièrement. Les programmes peuvent ajouter des sites dans la zone de confiance et donnera des pouvoirs à ce site que vous ne voulez pas.
Il se peut que les zones par défaut ne correspondent pas à vos besoin, vous pouvez alors créer votre propre zone. Internet Explorer ne permet pas de le faire, mais vous pouvez le faire facilement par la base de registre. Si vous n'avez aucune expérience de la base de registre : Tutorial sur la base de registre Windows
La clef des zones est : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones.
Les sous-clefs sont :
0) MyComputer
1) Intranet local
2) Sites de
confiances
3) Internet
4) Sites sensibles
Le plus simple pour ajouter une nouvelle zone est d'exporter une des sous-clefs à partir de regedit, la changer et enfin la réimporter.
| REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\4] |
Vous pouvez ensuite ajuster la zone dans les options Internet.
Il existe 4 configurations de zones par défauts :
Intranet Local - Moyen-bas
Site de confiances - Bas
Site sensibles - Haut
Internet - Moyen
Vous pouvez changer personnaliser les niveaux en faisant glisser de haut en bas le bouton "Niveau de sécurité de la zone". Si vous ne voyez pas de bouton que vous pouvez faire glisser, c'est que le niveau a été personnalisé. Pour le faire réapparaître, cliquez sur le bouton "Niveau par défaut".
Vous noterez que le niveau par défaut de la zone de confiance est plus haut que la zone intranet local.... donc ne mettez dans la zone de confiance que les sites dont vous avez plus confiance à ceux de votre intranet!
Pour changer les options d'une zone, cliquez sur le bouton "Personnaliser le niveaux" puis cochez les options dans la nouvelle fenêtres.
Parce qu'internet est incontrôlable, il peut contenir des choses qui peuvent choquer. Le contrôle parental n'est pas forcemment destiné aux parents qui veulent protéger leurs enfants, il peut être utilisé par n'importe qui, pour se protéger de certains contenus d'internet.
Lorsque le contrôle parental trouve qu'un utilisateur va sur une page restreinte, il affiche un avertissement. Les utilisateurs qui connaissent le mot de passe de superviseur peuvent passer outre le contrôle parental.
Internet Explorer utilise le système RSACi (Recreational Software Advisory Council). Ce système est obsolète, il a été suplanté par le système ICRA (Internet Content Rating Association, http://www.icra.org).
Pour installer ICRA, suivez ces manipulations :
Dans l'onglet "sites autorisés" vous
avez la possibilité de donner accès ou d'interdire
l'accès certains sites.Les contrôles ActiveX sont comme les programmes de Windows, ils sont capables de faire tout ce qu'un programme classique est capable de faire. Comme les programmes, Ils sont limités par les permissions du compte de l'utilisateur qui le lance. Enfin comme les programmes, ils peuvent aussi être dangereux pour votre système.
Par defaut, une centaine de contrôles ActiveX sont installés car ils sont une part importantes de Windows. Comme un programme, vous pouvez télécharger ces contrôles ActiveX à partir d'internet lorsque vous visitez un site.
Pour aider à déterminer si un
ActiveX
est
risqué ou pas, Microsoft utilise une signature digital
appelé Authenticode. Lorsque vous
téléchargez un
ActiveX, Internet Explorer vérifie s'il peut ou pas le
télécharger. S'il ne peut avoir d'informations
sur ce
contrôle, Internet Explorer vous demande s'il peut tout de
même le télécharger.
Cette signature ne vous dit pas si le contrôle
est
sûr,
il atteste juste de l'intégrité et
l'authenticité
du contrôle que vous téléchargez. Par
défaut, les options de sécurités
d'Internet
Explorer vous demandent la permission de
télécharger et
bloquer les contrôles qui ne sont pas signés. Dans
cette
boîte de dialogue, vous pouvez cliquer sur le nom de
l'éditeur du composant pour voir le certificat
utilisé
pour signer le téléchargement. Souvenez-vous
qu'une fois
que le contrôle est
téléchargé, vous ne
pourrez plus voir le certificat, donc vérifiez bien au
moment de
le télécharger. Vous pouvez importer le certificat en cliquant
sur
"Installer le certificat".
Une fois le contrôle téléchargé, vous pouvez avoir plus d'informations dans l'onglet général des options internet / Paramètres / Afficher les objets. Vous pouvez aussi vous rendre dans %SystemRoot%\Downloaded Program Files.
Dans le dossier Downloaded Program (activez Affichage / détails), vous pouvez voir plusieurs types de control. La colonne Status vous indique si le contrôle est endommagé. La date de création est la date de téléchargement du contrôle. Si le controle est endommagé ou vous estimez qu'il faut le mettre à jour, vous pouvez faire un clic droit puis sélectionnez "mettre à jour". Si une mise à jour est disponible, vous obtiendrez la fenêtre de certificat, puis le controle sera mis à jour.
Supprimer un controle ActiveX
Il est tentant de supprimer un controle en cliquant sur supprimer
depuis le dossier Downloaded Program Files, cela ne
désinstallera pas le control. Cela suprimera les fichiers
.ocx/dll mais pas les modifications de la base de registre. Lorsque
vous irez sur le site d'où le controle vient, Internet
Explorer
plantera, parcequ'il trouvera le controle dans la base de registre mais
pas sur le disque! Si vous désirez supprimer un controle
ActiveX, ouvrez ajout/suppression de programmes pour voir si vous
pouvez le désinstaller.
En faisant un clic droit sur un contrôle, vous pouvez cliquer sur le bouton propriétés pour obtenir des informations. Dans l'onglet général, vous pouvez voir si c'est une applet java ou un controle activeX (Type) et où vous avez téléchargé le controle (CodeBase). Internet Explorer utilise les zones de sécurités auquel le site (CodeBase) à partir duquel le contrôle a été téléchargé. Notez que dans le cas où le CodeBase est différent du site à partir duquel vous avez télécharge le contrôle, Internet Explorer appliquera les restrictions de sécurités les plus fortes.
L'onglet version permet de savoir à quel
éditeur appartient ce controle.
L'onglet Dépendances indentifie les fichiers
utilisés par le composant.
Les contrôles ActiveX peuvent être initialisés par des données locales ou à distance. Si ces données viennent d'un site dangereux, cela peut causer une faille de sécurité. Pour pallier à cela, les éditeurs peuvent signer les contrôles comme étant "Safe For Initialization and/or Safe For Scripting".
Si un contrôle est marqué comme "Safe For Scripting", l'éditeur assure que le contrôle ne peut dangereux.
Les paramètres de
sécurités
par défaut,
bloque les contrôles qui ne sont pas marqués comme
sain
dans les zones intranet local, internet ainsi que la zone des sites
sensibles. Dans la zone de confiance, une demande de permission
apparaîtra.
Un contrôle ActiveX étant marqué comme
"Safe for scripting" possède une clef :
HKEY_CLASSES_ROOT\CLSID\\Implemented
Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
la clef "Safe For Initialization" est :
HKEY_CLASSES_ROOT\CLSID\\Implemented
Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
Notez que ces clefs n'ont pas de valeurs. En supprimant ces clefs, vous
supprimez les marques "Safe"
Permettre seulement aux administrateurs
d'approuvés les contrôles ActiveX qui doivent
fonctionner
Vous avez la possibilite de restreintre l'utilisation des
contrôles ActiveX et instaurer l'approbation de
l'administration sur leurs utilisation dans Internet Explorer, pour
cela, vous devez installer Microsft Internet Explorer Administration
Toolkit qui est téléchargeable à
l'adresse : http://www.microsoft.com/windows/ieak/default.mspx
Démarrer les stratégie de groupes en cliquant sur le bouton démarrer puis executer et en saisissant gpedit.msc. Cherchez Configuration utilisateur/modèles d'administration\Composants Windows\Internet Explorer\Contrôles approuvés par l'administrateur. Vous verrez une liste de contrôles que vous pouvez approuvé en double cliquant dessus et en sélectionnant Activé.
Vous pouvez aussi ajouter des contrôles qui ne
sont
pas listés en éditant la base de registre.
Récupérez le CLSID du contrôle en
double cliquant dessus et en choisissans
propriétés. Sélectionnez le CLSID puis
copiez le. Ouvrez ensuite la base de registre à la clef : HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet
Settings\AllowedControls. Si cette clef
n'existe pas, vous pouvez la créer. Ajoutez une valeur DWORD
avec le CLSID et affectez la valeur 0. Pour empécher
l'utilisation du contrôle, affectez la valeur 1.
Pour limiter l'utilisation des contrôles dans
Internet Explorer, configurez l'utilisation des contrôles
ActiveX et Plug-ins dans les "Contrôles approuvés par
l'administrateur". Ceci est limité à une
zone, vous devez donc le faire pour chacune des zones.
Désactiver
un contrôle ActiveX
Si vous voulez être sûr qu'un contrôle ActiveX spécifique ne fonctionnera jamais sur votre ordinateur, copiez le CLSID à partir du dossier %SystemRoot%\Downloaded Program Files, en double cliquant sur le contrôle ActiveX en question et copiez l'ID à partir de l'onglet Général.
Editez la base de registre à la clef HKLM\Software\Microsoft\Internet
Explorer\ActiveX Compatibility. Ajoutez une
nouvelle clef et collez le CLSID. Ajoutez une valeur DWORD
nommée Compatibility Flags. Double-cliquez dessus pour
l'éditer et entrez la valeur hexadécimal 400 (ou
1024 en décimal). Lorsque la valeur est 0x00000400, le
contrôle est désactivé. Pour le
réactiver, supprimez la clef Compatibility Flags.
Un script est embarqué dans une page WEB, il peut être écrit en VBScript ou en JScript. Les Scripts peuvent être sauvegardés et être exécutés avec Windows Scripting Host. Beaucoup de virus sont écrits avec des scripts, utilisez donc un bon Antivirus pour vous protéger contre eux.
Beaucoup de scripts exploitent des failles d'Internet Explorer et beaucoup de failles de sécurités sont dû à des scripts.
Vous avez la possibilité de configurer la zone Internet pour afficher un message à l'utilisateur, lorsqu'un site essaye d'exécuter un script. Lorsque le site a été approuvé, vous pouvez l'ajouter dans une nouvelle zone de sécurité que vous avez créé, pour que celui-ci fonctionne normalement.
Vous pouvez aussi utiliser Jason Levine's Script Sentry (http://www.jasons-toolbox.com/scriptsentry.asp). qui vous permet d'utiliser des scripts sans messages d'interruption, et en afficher lorsque d'autres scripts s'executent.