Qu’est-ce que le sandboxing du navigateur ? – DZone

Avec un paysage commercial en évolution rapide, la sécurité est l’un des plus grands défis pour les développeurs et les testeurs dans leur cycle de développement Web moderne. La complexité de la création et du déploiement d’applications Web modernes entraîne davantage de vulnérabilités en matière de sécurité. Selon un rapport sur le coût des violations de données d’IBM et du Ponemon Institute, en 2021, les coûts des violations de données sont passés de 3,86 millions USD (coût moyen en 2019) à 4,24 millions USD, soit le coût moyen le plus élevé de ce rapport en dix-sept ans.

Par conséquent, la cybersécurité devient de plus en plus importante dans le cycle de vie du développement logiciel pour garantir la sécurité et la confidentialité des données des utilisateurs. Ne serait-il pas formidable de pouvoir développer et tester des sites Web et des applications Web sans se soucier des failles de sécurité ? Le sandboxing est une technique qui peut vous aider à y parvenir. Le sandboxing est une approche permettant d’isoler en toute sécurité une application, un navigateur Web et un morceau de code. Il empêche les applications malveillantes ou défectueuses d’attaquer ou d’espionner vos ressources Web et votre système local.

Dans le monde réel, un bac à sable est une aire de jeux pour enfants entourée de murs. Il permet aux enfants de jouer avec du sable sans que le sable ne se répande autour de la pelouse. De même, le navigateur sandbox crée un environnement isolé dans lequel les utilisateurs peuvent télécharger et installer des applications à partir de sources tierces et les exploiter dans un environnement sécurisé et isolé, même s’ils agissent de manière suspecte. Par conséquent, le navigateur sandbox protège votre ordinateur des risques de sécurité supplémentaires.

Dans cet article, nous explorons ce qu’est le sandboxing du navigateur, les avantages et l’importance des différents types de sandboxing, et comment l’implémenter.

Commençons!

Qu’est-ce que le sandboxing du navigateur ?

Pour éviter les failles de sécurité dans votre système ou votre application Web, les développeurs doivent trouver comment les traiter. C’est à ce moment que le sandboxing du navigateur devient utile. Le bac à sable du navigateur fournit un environnement virtuel sûr pour tester du code nuisible ou exécuter des logiciels tiers sans compromettre les données ou les fichiers locaux de votre système.

Par exemple, si vous téléchargez une pièce jointe malveillante dans le bac à sable, cela n’endommagera pas les fichiers ou les ressources existants de votre système. Sandbox a une fonctionnalité de même origine, qui permet à JavaScript d’ajouter ou de personnaliser des éléments sur une page Web tout en limitant l’accès à un fichier JSON externe.

Aujourd’hui, les navigateurs Web populaires, tels que Chrome, Firefox et Edge, sont livrés avec des bacs à sable intégrés. Le but ultime d’un navigateur en bac à sable est de protéger votre machine des risques liés à la navigation. Par conséquent, si un utilisateur télécharge un logiciel malveillant à partir d’un site Web, le logiciel est téléchargé dans le bac à sable du navigateur. Tout ce qu’il contient, y compris le code nuisible, est effacé lors de la fermeture du bac à sable.

Le sandboxing du navigateur utilise deux techniques d’isolation pour protéger l’activité de navigation Web des utilisateurs et le matériel système, les PC locaux et les réseaux :

• Isolement du navigateur local
• Isolement du navigateur distant

Isolement du navigateur local

L’isolation du navigateur local est une technique conventionnelle d’isolation du navigateur qui exécute les navigateurs virtuels dans le bac à sable ou la machine virtuelle sur l’infrastructure locale de l’utilisateur. Il aide à isoler les données des menaces de sécurité externes et de la navigation non sécurisée. Par exemple, si un élément malveillant s’insinue, l’impact sera limité au navigateur sandbox et à la machine virtuelle.

Isolement du navigateur distant

L’isolation du navigateur à distance implique une technique de virtualisation dans laquelle le navigateur est exécuté sur un serveur basé sur le cloud (cloud public et privé). Dans l’isolement à distance, le système local de l’utilisateur est libre de toute activité de navigation, et le sandboxing du navigateur, le filtrage et l’évaluation des risques ont lieu sur le serveur distant.

L’isolation du navigateur distant implique deux manières d’isoler l’infrastructure locale de l’utilisateur et le contenu Web :

1. Mise en miroir DOM: Dans cette technique, le navigateur n’est pas entièrement isolé du système local de l’utilisateur. Cependant, la technique de mise en miroir DOM filtre le contenu malveillant et restitue le reste du contenu à l’utilisateur.
2. Flux visuel: Cette technique fournit une isolation complète du navigateur distant. Le streaming visuel fonctionne comme les systèmes VDI (Virtual Desktop Infrastructure) où un navigateur s’exécute sur le serveur basé sur le cloud, et la sortie visuelle est affichée sur la machine locale de l’utilisateur.

Pourquoi le sandboxing du navigateur est-il important ?

Les technologies Web modernes se développent rapidement, permettant ainsi aux utilisateurs de développer et d’expédier des sites Web et des applications Web sans accroc. Dans le même temps, la demande d’applications Web augmente également à un rythme sans précédent. Selon une enquête d’Imperva, les applications Web étaient à l’origine de 50 % des violations de données. Par conséquent, il est essentiel de disposer d’un environnement sécurisé et contrôlé, tel qu’un navigateur sandbox, pour effectuer les opérations sans mettre en péril votre infrastructure locale et les ressources système.

Par exemple, un utilisateur exécute un navigateur Web dans un bac à sable. Si un code ou un fichier malveillant exploite les vulnérabilités du navigateur Web, l’impact est limité au sein du bac à sable. En outre, la procédure de détonation peut aider à la découverte de nouvelles vulnérabilités et à leur atténuation dans les navigateurs Web. Cependant, si le navigateur sandbox est désactivé, des programmes malveillants peuvent exploiter les vulnérabilités du navigateur Web et endommager le système local et les ressources de l’utilisateur.

Avantages du bac à sable

L’intégration d’un bac à sable dans votre flux de travail de développement Web présente divers avantages. Certains des avantages sont mentionnés ci-dessous :

• Le sandboxing évite à l’appareil et au système d’exploitation d’être exposés à des menaces potentielles.
• Lorsque vous travaillez avec une partie ou un fournisseur non autorisé, il est préférable d’utiliser un environnement de sandboxing. Avant de déployer des éléments, vous pouvez utiliser le bac à sable pour tester le code ou le logiciel suspect.
• Le sandboxing peut aider à prévenir les attaques zero-day. Étant donné que les développeurs ne peuvent pas découvrir de correctif instantané pour les exploits, les attaques zero-day sont intrinsèquement nuisibles. Par conséquent, le sandboxing atténue les dommages en masquant les logiciels malveillants de votre système.
• L’environnement Sandbox met en quarantaine les menaces et les virus. Cela aide les cyber-experts à étudier et à analyser les tendances des menaces. Il permet de prévenir de futures intrusions et d’identifier les vulnérabilités du réseau.
• Les applications de sandboxing sont une solution hybride qui implique qu’elles peuvent être déployées localement et à distance (serveur basé sur le cloud). Les systèmes hybrides sont plus sûrs, fiables et rentables que les solutions traditionnelles.
• Les configurations de sandboxing et RDP (protocole de bureau à distance) aident les entreprises à garantir une connexion réseau externe sécurisée.
• Le sandboxing peut être utilisé conjointement avec un antivirus ou d’autres outils et politiques de sécurité pour renforcer l’ensemble de votre écosystème de sécurité.

Quels actifs sont mis en bac à sable ?

La majeure partie des actifs que nous utilisons dans notre flux de travail quotidien, tels que les navigateurs en ligne, les pages Web, les fichiers PDF, les applications mobiles et les applications Windows, sont en bac à sable.

Les actifs mis en bac à sable sont répertoriés ci-dessous :

• Navigateurs Web: Les navigateurs potentiellement vulnérables s’exécutent dans des environnements en bac à sable.
• Plugins de navigateur: lors du chargement du contenu, les plug-ins du navigateur fonctionnent dans un bac à sable. Les plugins de navigateur en bac à sable, comme Java, sont plus vulnérables aux attaques.
• les pages Web: Le navigateur charge la page Web en mode bac à sable. Étant donné qu’une page Web est intégrée à JavaScript, elle ne peut pas accéder à un fichier sur votre ordinateur local.
• Application mobile: Mobile OS, comme Android et iOS, exécute leur application en mode sandbox. Ils font apparaître la boîte d’autorisation s’ils souhaitent accéder à votre emplacement, à vos contacts ou à d’autres informations.
• Logiciels et programmes Windows: Avant d’apporter des modifications aux fichiers système, le contrôle de compte d’utilisateur (UAC) dans le système d’exploitation Windows vous demande votre autorisation. L’UAC fonctionne de la même manière qu’un bac à sable, bien qu’il n’offre pas une protection complète. Cependant, il ne faut pas le désactiver.

Différents types de bac à sable

Dans cette section sur le bac à sable du navigateur, nous abordons les différents types de bac à sable. Le sandboxing est divisé en trois catégories :

1. Bac à sable des applications
2. Sandbox du navigateur
3. Bac à sable de sécurité

Bac à sable des applications

Avec le bac à sable d’application, vous pouvez exécuter des applications non approuvées dans un bac à sable pour les empêcher d’endommager votre système local ou de voler des données. Il aide à créer un environnement sécurisé dans lequel les applications peuvent s’exécuter sans risquer d’endommager le système. En isolant l’application de l’ordinateur local de l’utilisateur, le sandboxing de l’application améliore l’intégrité de l’application.

Sandbox du navigateur

Les applications basées sur un navigateur potentiellement malveillantes peuvent être exécutées dans un bac à sable pour les empêcher de nuire à votre infrastructure locale. Cela conduit à établir un environnement sécurisé dans lequel les applications Web peuvent s’exécuter sans compromettre le système. La technique de détonation peut aider à la découverte de nouvelles vulnérabilités dans les navigateurs Web et à leur atténuation.

Sandbox de sécurité

Le sandboxing de sécurité vous permet d’explorer et de détecter le code suspect. Il analyse les pièces jointes et identifie une liste de sites Web potentiellement dangereux, et détermine si l’on télécharge ou installe des fichiers infectés.

Sandboxing avec un navigateur Sandbox intégré

Les bacs à sable sont préinstallés dans les navigateurs populaires, tels que Chromium, Firefox et Edge, pour protéger votre système contre les vulnérabilités de navigation. Voyons comment fonctionne le sandboxing dans différents navigateurs :

Bac à sable du navigateur Chromium

Google Chrome et Microsoft Edge sont basés sur le navigateur Chromium. Le courtier et la cible sont les deux processus qui composent le bac à sable du navigateur Chromium. Le processus cible est un processus enfant, tandis que le processus navigateur est un processus courtier. Le code du processus cible est exécuté dans un environnement sandbox. Le processus de courtier agit entre le processus enfant et les ressources matérielles pour offrir des ressources au processus enfant.

Bac à sable du navigateur Firefox

Pour protéger le système local contre les menaces, Firefox exécute du code non approuvé dans un bac à sable. Le navigateur Firefox est mis en bac à sable en utilisant les processus parent et enfant. Lors de la navigation, des programmes potentiellement malveillants sont exécutés dans le bac à sable. Le parent est un médiateur entre le processus enfant et le reste des ressources système pendant le sandboxing.

Vous pouvez modifier le degré de sandboxing dans les navigateurs Firefox pour le rendre moins, modéré ou très…