Cela a pris un certain temps, car Google ne voulait pas avoir à prendre des mesures. Mais, finalement, le Google Chrome Ad blocker a été dévoilé. Grâce à cette nouvelle fonctionnalité de Chrome, les utilisateurs peuvent désormais bloquer les publicités intrusives s’ils le souhaitent.
Qu’est-ce que le Google Chrome Ad Blocker peut bloquer ?
Google gagne beaucoup d’argent grâce à la publicité, voici pourquoi Google Chrome Ad blocker ne bloque pas toutes les publicités, seulement celles qui sont considérées comme intrusives et gênantes. Mais ce ne sont là que des termes naturellement subjectifs. Alors comment Google va-t-il déterminer ce qui constitue une « intrusion » ?
L’un des premiers contrôles effectués par Google consiste à vérifier si les publicités sur une page Web enfreignent les normes établies par le Coalition for Better Ads, un groupe d’organisations professionnelles et de sociétés de médias en ligne qui s’engagent à améliorer l’expérience en ligne des internautes.
La Coalition for Better Ads a identifié les expériences publicitaires les moins bien classées parmi une gamme de facteurs liés à l’expérience et a établi une norme sur ce qui peut être considéré comme acceptable. Ces normes comprennent quatre types d’annonces pour les utilisateurs d’ordinateurs de bureau : pop-up ads, vidéos en lecture automatique avec son (autoplay), publicités interstitielles avec compte à rebours et grandes annonces collantes.
Il existe huit catégories couvrant la publicité mobile à savoir les publicités pop-up, les publicités interstitielles (où les publicités sont chargées avant le contenu), les publicités interstitielles avec compte à rebours, les publicités animées clignotantes, l’autoplay, les publicités scrollover plein écran, les grandes publicités collantes et la densité publicitaire supérieure à 30 %.
Google Chrome évalue les pages Web en fonction de ces normes. Si la page n’appartient pas à l’une des catégories d’annonces ci-dessus, aucune action ne sera entreprise. Google affirme que lorsque 7,5 % des publicités sur un site violent les normes, le filtre se déclenche.
Si les normes ci-dessus ne sont pas respectées, le site reçoit un avertissement et dispose d’un délai de 30 jours pour prendre des mesures adéquates. Les propriétaires de sites qui ne tiennent pas compte de l’avertissement et qui ne prennent aucune mesure se verront leur site ajouté à une liste de sites en échec. Leurs annonces publicitaires seront donc bloquées, bien que les visiteurs aient encore la possibilité de les charger sur le site en question.
L’objectif du Google Chrome Ad blocker n’est pas de bloquer les publicités, mais d’inciter les propriétaires de sites à adhérer aux normes Better Ads. Google rapporte que la menace du blocage des publicités a déjà eu un effet positif. Avant même la sortie du Chrome Ad blocker, Google a affirmé que 42% des sites avec des publicités intrusives ont déjà apporté des changements pour les rendre conformes aux normes Better Ads.
Ce changement n’était peut-être pas celui que Google voulait faire, mais c’est une étape importante qu’il fallait franchir. Les publicités intrusives sont devenues une nuisance majeure, et les internautes passent à l’action en installant des bloqueurs de publicités. Ce qui pose problème c’est que ces bloqueurs ne classent pas les publicités suivant le fait qu’elles sont ennuyeuses ou non. Ils bloquent toutes les publicités, ce qui est évidemment mauvais pour des entreprises comme Google.
Rappelons que Google a réalisé 95,4 milliards de dollars en termes de publicité l’an dernier. L’utilisation généralisée des bloqueurs de publicités pourrait donc faire une sérieuse entaille dans ses profits. Selon les chiffres de Deloitte, 31 % des utilisateurs aux États-Unis ont déjà installé des bloqueurs de publicités et ce chiffre devrait atteindre un tiers de tous les ordinateurs cette année.
Alors, est-ce que le lancement du Google Chrome Ad blocker signifiera-t-il que moins de gens utiliseront le logiciel de blocage de publicité ? Seul l’avenir nous le dira, mais c’est peu probable. Toutefois, ce changement pourrait signifier que moins de gens envisageront sérieusement de bloquer des publicités à l’avenir si les entreprises commencent à adhérer aux normes Better Ads.
Pourquoi les entreprises devraient envisager d’utiliser un filtre Web
Pour les entreprises, les publicités sont plus qu’une nuisance.
Certaines d’entre elles présentent un risque sérieux pour la sécurité. Les cybercriminels peuvent en effet utiliser des publicités malveillantes pour diriger les utilisateurs finaux vers des sites Web de phishing et des pages Web hébergeant des kits d’exploitation et des malwares.
Appelées malvertising, ces publicités malveillantes représentent un risque majeur. Bien qu’il soit possible d’utiliser un adblocker pour empêcher leur affichage, celui-ci n’empêchera pas d’autres menaces graves qui sont diffusées sur la toile. Pour une plus grande sécurité web, un filtre web s’avère donc nécessaire.
Un filtre Web peut être configuré pour bloquer différentes catégories de contenus d’un site Web que vos employés n’ont pas besoin de visiter pendant leur journée de travail. Le filtre peut être configuré pour bloquer les sites et pages web connus pour être utilisés pour le phishing ou la distribution de malwares. Par ailleurs, il peut bloquer le téléchargement de types de fichiers spécifiques tels que JavaScript et autres fichiers exécutables, c’est-à-dire des fichiers souvent utilisés pour installer des malwares.
Enfin, WebTitan permet aux entreprises de réduire le risque de malvertising sans avoir besoin d’installer de bloqueurs de publicités.
En contrôlant minutieusement les contenus web auxquels les employés peuvent accéder, les entreprises peuvent améliorer considérablement la sécurité Web et bloquer la majorité des menaces cybercriminelles.
Pour plus d’informations sur le blocage des contenus malveillants et indésirables, contactez l’équipe TitanHQ dès aujourd’hui.
Des chercheurs en sécurité informatique ont découvert une vulnérabilité sérieuse du plug-in Jetpack qui expose les sites à un risque d’attaque par des cybercriminels. Si vous exécutez des sites WordPress pour votre entreprise et que vous utilisez le plug-in d’optimisation de site Web Jetpack, vous devez effectuer une mise à jour dès que possible pour éviter que le défaut ne soit exploité.
La vulnérabilité du plug-in Jetpack peut être utilisée pour injecter un code JavaScript malveillant dans des sites Web ou pour insérer des liens, vidéos, documents, images et autres ressources. Cela exposerait les visiteurs du site à un risque de téléchargement de malware ou de ransomware.
Les acteurs malveillants pourraient intégrer un code JavaScript malveillant dans les commentaires du site, et chaque fois qu’un visiteur consulte un commentaire malveillant, il autorise l’exécution du code. Les visiteurs pourraient donc être redirigés vers d’autres sites Web et la faille risque d’être utilisée pour voler des cookies d’authentification et détourner les comptes d’administrateur, ou pour intégrer des liens vers des sites Web contenant des kits d’exploitation.
La faille peut également être exploitée par les concurrents pour affecter négativement le classement dans les moteurs de recherche en utilisant des techniques de spamming SEO. Ceci pourrait avoir de graves conséquences pour le classement des sites et pour le trafic.
Plus d’un million de sites Web WordPress sont affectés par la vulnérabilité du nouveau plug-in Jetpack
La vulnérabilité du plug-in Jetpack a récemment été découverte par des chercheurs de Sucuri.
La vulnérabilité est une faille Cross-Site Scripting ou XSS qui a été introduite pour la première fois en 2012 et qui a affecté la version 2.0 du plug-in. Toutes les versions ultérieures de Jetpack contiennent également la même vulnérabilité de module Shortcode Embeds Jetpack.
Jetpack est un plug-in WordPress populaire qui a été conçu par des développeurs d’Automattic, la société qui propose WordPress. Il a été téléchargé et utilisé sur plus d’un million de sites Web. Ce n’est pas seulement un problème pour les propriétaires de sites Web, mais aussi pour les visiteurs du Web qui pourraient facilement voir cette faille exploitée et infecter leurs ordinateurs avec un ransomware ou un malware. Les failles de ce genre soulignent l’importance d’utiliser un logiciel de filtrage Web qui bloque les redirections vers des sites Web malveillants.
Alors que de nombreuses vulnérabilités de plug-ins WordPress nécessitent un niveau de compétence substantiel pour être exploitées, celle du plug-in jetpack ne nécessite que très peu de compétences. Heureusement, Jetpack n’a découvert aucun élément de programme actif permettant à un individu ou à un malwares d’exploiter une faille de sécurité informatique. Cependant, maintenant que la vulnérabilité a été annoncée, et que les détails sur la manière de l’exploiter sont fournis en ligne, ce n’est qu’une question de temps avant que les pirates et les acteurs malveillants en profitent.
Le défaut ne peut être exploité que si le module Shortcode Embeds Jetpack est activé, bien qu’il soit fortement conseillé à tous les utilisateurs du plug-in d’effectuer une mise à jour dès que possible. Jetpack a travaillé avec WordPress pour que la mise à jour soit diffusée via le système de mise à jour de base de WordPress. Si vous avez la version 4.0.3 installée, vous êtes déjà probablement protégé.
Jetpack signale que, même si le défaut a déjà été exploité, la mise à jour vers la dernière version du logiciel supprimera tous les kits d’exploitations déjà présents sur les sites web WordPress.
Les midterms (élections de mi-parcours) des États-Unis ont attiré une attention considérable. Il n’est donc pas surprenant que les cybercriminels profitent de cet évènement en menant une campagne d’empoisonnement SEO des élections à moyen terme. C’était une histoire similaire à l’approche des élections présidentielles de 2016 et de la Coupe du monde. Chaque fois qu’il y a un événement majeur digne d’intérêt, il y a toujours des escrocs prêts à en profiter.
Des milliers de pages Web sur le thème des élections de mi-mandat ont vu le jour et ont été indexées par les moteurs de recherche. Certaines d’entre elles sont à fort trafic et sont très bien placées dans les résultats organiques pour les phrases de mots clés des élections de mi-mandat.
L’objectif de la campagne n’est pas d’influencer les résultats des élections de mi-mandat, mais de profiter de l’intérêt public et du grand nombre de recherches liées aux élections, puis de détourner le trafic vers des sites web malveillants.
Qu’est-ce que l’empoisonnement par SEO ?
La création de pages Web malveillantes et leur classement dans les résultats organiques des moteurs de recherche s’appelle l’empoisonnement des moteurs de recherche.
Les techniques d’optimisation pour les moteurs de recherche (SEO) sont utilisées pour promouvoir les pages Web et convaincre les algorithmes des moteurs de recherche que les pages sont dignes d’intérêt et pertinentes pour des termes de recherche spécifiques. Les pratiques suspectes de SEO telles que l’occultation, le remplissage de mot-clé, et le backlinking sont utilisées pour tromper les spiders des moteurs de recherche en évaluant favorablement les pages Web.
Le contenu des pages apparaît extrêmement pertinent pour les robots des moteurs de recherche qui explorent Internet et qui indexent les pages. Cependant, ces dernières n’ont pas toujours le même contenu.
Les spiders et les robots voient un type de contenu, tandis que les visiteurs humains se verront afficher quelque chose de complètement différent. Les escrocs sont ainsi capables de différencier les visiteurs humains et les bots via différents en-têtes HTTP dans les requêtes Web.
Les visiteurs réels voient alors un contenu différent ou sont redirigés vers des sites Web malveillants.
Campagne d’empoisonnement par SEO des midterms ciblant plus de 15 000 mots-clés
La campagne d’empoisonnement SEO des élections de mi-mandat a été suivie par Zscaler qui a noté que les arnaqueurs ont réussi à obtenir plusieurs pages malveillantes dans les résultats de la première page pour les phrases à fort trafic comme « élections de mi-mandat ».
Cependant, ce n’est que la partie visible de l’iceberg. Les arnaqueurs cibleraient en fait plus de 15 000 mots-clés électoraux de mi-mandat différents et utiliseraient plus de 10 000 sites Web compromis au cours de la campagne. Chaque jour, de plus en plus de sites ont été compromis et utilisés dans le cadre de cette campagne.
Lorsqu’un visiteur arrive sur l’une de ces pages Web à partir d’un moteur de recherche, il est redirigé vers l’une des nombreuses pages Web différentes. Les redirections multiples sont souvent utilisées avant que le visiteur n’arrive finalement à une page d’atterrissage particulière. Ces pages d’accueil comprennent des formulaires de phishing pour obtenir des informations sensibles ; des kits d’exploitation de l’hôte qui téléchargent silencieusement des malwares.
Elles peuvent également être utilisées pour des escroqueries de support technique et inclure diverses ruses pour tromper les visiteurs en installant des logiciels publicitaires, spywares, mineurs de cryptocurrences, ransomwares ou extensions malveillantes de navigateur.
En plus des sites d’escroquerie, la campagne permettait aux escrocs de générer du trafic vers des sites politiques, religieux et pour adultes.
Cette campagne d’empoisonnement SEO des élections de mi-parcours représente une menace importante pour tous les utilisateurs d’Internet, mais en particulier les entreprises qui ne contrôlent pas le contenu qui peut être consulté par leurs employés. Des cas similaires peuvent facilement entraîner le vol de justificatifs d’identité ou des infections par des malwares et ransomwares qui peuvent tous s’avérer incroyablement coûteux à résoudre.
Une solution facile à mettre en œuvre est un filtre Web tel que WebTitan. Ce dernier peut être déployé en quelques minutes et utilisé pour contrôler soigneusement le contenu auquel les employés peuvent accéder.
Les sites Web figurant sur la liste noire seront automatiquement bloqués ; les téléchargements de logiciels malveillants empêchés et les redirections malveillantes vers des sites Web de phishing et des kits d’exploitation seront stoppés avant que le mal soit fait.
Pour plus d’informations sur les avantages du filtrage Web et les détails de WebTitan, contactez l’équipe TitanHQ dès aujourd’hui.
La protection de votre réseau informatique contre les attaques cybercriminels exige une combinaison de technologies, de bonnes pratiques et de vigilance. En ce qui concerne l’aspect technologique, de nombreux professionnels de la sécurité informatique accordent peu d’attention à la sécurisation de la couche DNS, et c’est une grosse erreur.
L’implémentation de la sécurité DNS est maintenant tout aussi importante que la protection de votre réseau avec un pare-feu standard. Les pirates informatiques profitent de l’absence de la sécurité DNS pour infiltrer les réseaux informatiques, installer des malwares et exfiltrer les données.
La majorité des variantes de malwares actuellement disponibles utilisent les failles de sécurité du système DNS pour communiquer avec les serveurs de commande et de contrôle et voler des données. Les entreprises qui n’ont pas encore adopté un système de filtrage DNS pourraient déjà avoir vu leurs réseaux compromis à leur insu.
Sécuriser la couche DNS est essentiel
Le DNS, ou système de noms de domaine, peut être considéré comme un carnet d’adresses Internet. Il traduit les noms de domaine comme google.com en chiffres appelés « Internet Protocol » ou adresse IP.
Le DNS est un élément fondamental de l’infrastructure Internet, mais il ne peut pas réellement empêcher les utilisateurs d’être dirigés vers des sites Web malveillants et il est loin d’être sûr. Sécuriser la couche DNS est essentiel, car, sans ce niveau de protection supplémentaire, les entreprises se laissent facilement attaquer par des cybercriminels.
Les individus peuvent être renvoyés vers des sites Web malveillants où ils divulguent volontairement des données sensibles, sans savoir que tout ce qu’ils font est surveillé et enregistré. C’est ce qui rend de nombreuses attaques de spear phishing si efficaces. Les victimes n’ont aucune idée à propos de la manière dont elles compromettent leurs propres réseaux.
L’implémentation d’un filtre Web basé sur le DNS permettra de détecter et d’empêcher les connexions malveillantes et d’alerter les administrateurs système de la présence de malwares et de botnets.
L’utilisation d’un filtre Web DNS basé sur le Cloud, et fourni via une console d’administration, vous permet de configurer et de gérer rapidement différentes politiques d’utilisation par réseau, par groupe, par utilisateur, par périphérique ou par adresse IP. Ceci vous permet de mieux contrôler l’utilisation d’Internet dans votre entreprise.
Blocage des communications malveillantes
Les attaques de phishing sont devenues le fléau des entreprises dans le monde entier. Les attaques de phishing sont utilisées pour diffuser des malwares qui contournent tous les contrôles de sécurité mis en œuvre par une organisation.
Quelle que soit la façon dont une personne parvient à installer un malware, par exemple par le biais de spams ou via le téléchargement à la dérobée (« drive-by-download »), celui-ci doit être détecté rapidement. En effet, une fois installés, les malwares peuvent se déplacer latéralement à une vitesse surprenante, et cette situation risque de passer inaperçue de l’utilisateur.
Sécuriser la couche DNS pour prévenir les cyberattaques
Si vous n’avez pas encore ajouté un système de filtrage DNS à vos défenses de sécurité, rassurez-vous, car vous n’êtes pas le seul.
Malheureusement, de nombreuses entreprises, voire des organisations gouvernementales, accordent peu d’attention à la sécurisation de la couche DNS et ont déjà été attaquées ou ont déjà vu leurs systèmes compromis.
Les cybercriminels ont déjà exploité des entreprises qui ne parviennent pas à sécuriser les DNS
Les cybercriminels ont déjà exploité les vulnérabilités concernant la sécurité de la couche DNS. Ils ont utilisé cette faille pour mener des attaques de phishing et pour accéder aux données appartenant aux entreprises.
Ne pas sécuriser la couche DNS rend la tâche beaucoup trop facile pour les pirates informatiques. Alors, si vous voulez vraiment empêcher les cybercriminels de voler vos données et de saboter vos systèmes, il est temps d’ajouter le filtrage DNS à votre arsenal de sécurité réseau.
La bonne nouvelle est que la sécurisation de la couche DNS est un processus simple qui ne nécessite aucun matériel informatique ni l’installation d’un logiciel supplémentaire. Certains fournisseurs offrent maintenant des solutions de filtrage DNS dans le cloud qui peuvent être mises en place en quelques minutes.
Il est peut-être temps que vous commenciez à sécuriser la couche DNS et à faire en sorte que votre réseau soit beaucoup plus difficile à compromettre pour les cybercriminels.
Vous souhaitez bénéficier d’un haut niveau de protection contre les malwares et les attaques de phishing ? Alors, consultez WebTitan Cloud, le filtre Web DNS qui vous permet de surveiller, contrôler et protéger vos utilisateurs et votre réseau d’entreprise. Cette solution ne requiert pas l’installation d’un logiciel de votre part ni de la part des utilisateurs finaux. De plus, sa mise en place est extraordinairement simple et rapide.
Office 365 est un logiciel de plus en plus convoité, avec plus de 135 millions d’utilisateurs commerciaux mensuels, et cette tendance ne fait que se renforcer. Son adoption par les petites et moyennes entreprises s’accroît à un rythme rapide, en grande partie grâce à des conseillers de confiance comme les ESN et fournisseurs de services, les revendeurs et les CSP (fournisseurs de solutions cloud) Microsoft.
Aujourd’hui, les partenaires peuvent acheter auprès de CSP Microsoft comme AppRiver, Intermedia, Pax8, etc., et revendre des licences Office 365 à leurs clients avec de très faibles marges.
Pour de nombreux VAR (distributeurs à valeur ajoutée) et ESN, Office 365 est une solution solide pour leur clientèle. Pourquoi ? Parce que cela leur permet de conquérir de nouvelles affaires. Mais avec une faible marge, à quoi cela pourrait réellement servir ?
Il ne fait aucun doute que Office 365 est une excellente application de messagerie et de productivité, mais les ESN ne peuvent pas bâtir une entreprise durable avec des marges très minces.
Bien entendu, les migrations dans le cloud, les sauvegardes et d’autres services peuvent ajouter de la valeur à une offre Office 365.
Pourtant, sachez que :
73 % des fournisseurs de services inscrits en 2018 ont considéré la sécurité comme leur service affichant la croissance la plus rapide.
55 % ont choisi les services professionnels.
seulement 52 % ont choisi Office 365.
Pour les ESN, les consultants et les revendeurs, Office 365 représente une opportunité d’aider à construire une pratique rentable pour la vente d’abonnements aux PME. Il permet également de former les clients à la protection de leur investissement dans le cadre de leur budget informatique et à la sécurisation de leur réseau grâce au concept de « défense en profondeur ».
Alors que les attaques de phishing et de ransomware se multiplient, les budgets informatiques sont établis en tenant compte de la sécurité, même pour les petites et moyennes entreprises. Cela n’a rien de surprenant, étant donné les innombrables gros titres rapportant les exploits des pirates ayant porté atteinte à l’environnement Office 365.
La sécurité est une fonctionnalité que Microsoft a ajoutée à son logiciel Office 365, mais pour la plupart des organisations, cela ne répond pas à leurs critères de sécurité. Une étude récente a révélé qu’un propriétaire d’entreprise sur trois n’a pas de mesures de protection en place pour lutter contre les atteintes à la sécurité informatique et que 60 % des petites entreprises qui en sont victimes font faillite dans les six mois après l’incident.
En tant qu’experts en sécurité de la messagerie, et disposant de plus de 20 ans d’expérience dans le domaine, nous savons que les nouveaux logiciels malveillants peuvent pénétrer les mécanismes habituels de filtrage d’e-mails.
Depuis longtemps, les anciennes technologies de protection du courrier électronique — comme la réputation d’analyse et la prise d’empreintes digitales — ne sont plus efficaces contre l’évolution de ces menaces. Des recherches récentes menées par Osterman ont montré que Microsoft Exchange Online Protection (EOP) peut détecter 100 % de tous les virus connus grâce à des mises à jour toutes les 15 minutes. Cependant, la recherche a révélé qu’il était moins efficace contre les logiciels malveillants inconnus ou les nouveaux logiciels malveillants livrés par email.
Les ESN, en tant que conseillers de confiance, ont une énorme opportunité de fournir une gamme complète d’outils de productivité (Office 365, Dynamics, Azure), de sécurité et de conformité dans le Cloud (sécurité des e-mails et sécurité Web, DLP et archivage) à leurs clients PME. Ils peuvent bénéficier des marges combinées de 75 à 100 % sans avoir besoin d’augmenter drastiquement leurs dépenses mensuelles.
Comme les petites et moyennes entreprises doivent s’efforcer de « maintenir les lumières allumées » et de faire croître leur entreprise, Microsoft a annoncé que celles qui choisissent Office 365 peuvent faire des économies de coûts grâce à l’adoption d’une solution basée sur le Cloud.
Un tel changement permet à une entreprise d’économiser de l’argent et au personnel informatique de travailler sur d’autres problèmes commerciaux. Ce qui ajoute plus de valeur à l’entreprise.
Pour garantir la sécurité de leur courrier électronique, de leur site Web, pour assurer la conformité et pour augmenter leur productivité informatique, les entreprises n’ont pas besoin de trop dépenser.
Comment les ESN peuvent-elles augmenter les marges sur les activités Office 365 ?
Les ESN doivent investir dans la sécurité en tant que service et dans un concept de « défense en profondeur » pour rentabiliser leur activité Office 365. Le dilemme pour les partenaires n’est pas de savoir s’il faut offrir plus de sécurité à Office 365, mais plutôt comment offrir une plate-forme de sécurité avancée et rentable qui peut gérer les menaces avancées d’aujourd’hui. De plus, il faut prendre en compte le budget de sécurité informatique de leurs clients PME.
Aujourd’hui, les ESN, les consultants et les revendeurs ont la possibilité d’offrir à leurs clients une défense très lucrative dans un concept de défense en profondeur. Avec les services de sécurité de cloud privé de TitanHQ — SpamTitan (sécurité des emails), WebTitan (filtrage de contenu) et ArcTitan (archivage d’emails) —, les ESN peuvent offrir une sécurité avancée en plus des abonnements Office 365 et augmenter leurs marges, tout en offrant de faibles coûts mensuels à leurs clients.
Office 365 continue d’être le leader dans le domaine de la productivité et de la collaboration, mais pour les partenaires qui vendent et gèrent ce service, les marges sont serrées.
Comme les partenaires vendent et gèrent de plus en plus de boîtes aux lettres Office 365, ils doivent trouver un moyen de les rendre rentables. Comme solution, ils peuvent donc offrir une sécurité supplémentaire.
Attention aux failles de sécurité d’Office 365
La véritable opportunité pour les ESN réside dans les services améliorés que les entreprises recherchent autour d’Office 365. Offrir un service de sécurité en profondeur pour combler les lacunes de sécurité d’Office 365 peut aider les ESN à aller plus loin dans leurs activités.
Le courrier électronique est essentiel à la mission des organisations et est constamment ciblé par les attaquants, il est donc devenu impératif que les entreprises disposent de mesures de sécurité fiables en place. Il est essentiel que les ESN utilisent un fournisseur de sécurité tiers fiable comme TitanHQ qui, depuis 25 ans, se spécialise dans la sécurité du courrier électronique et du Web.
Contrairement à Microsoft, nous nous focalisons tout particulièrement sur la sécurité. Nous travaillons quotidiennement avec plus de 2000 ESN dans le monde entier. Nous protégeons vos clients contre les logiciels malveillants, les ransomwares, le phishing, les virus, les botnets et autres cybermenaces. Et sachez que beaucoup de nos clients utilisent Office365.
Nos produits ont été construits à partir de la base, avec des ESN et pour les ESN. Nous économisons le temps de support et d’ingénierie des ESN en évitant les problèmes à la source, tout en fournissant des produits fiables que vous pourrez vendre dans votre pile technologique pour générer des marges.
Contactez-nous dès aujourd’hui pour savoir comment les ESN comme vous peuvent augmenter leurs marges avec Office 365 business.
Les utilisateurs occasionnels d’Internet remarquent rarement qu’il y a deux options pour débuter une URL. Il s’agit des fameux protocoles HTTP et HTTPS qui sont largement utilisés pour envoyer et recevoir des informations sur le web.
Que vous soyez un professionnel qui dispose déjà d’une certaine connaissance sur la signification et l’utilité de ces acronymes ; ou que vous soyez un simple utilisateur du web très enthousiaste à l’idée de savoir comment ils fonctionnent exactement, ce dossier spécial pourrait élargir vos horizons.
HTTP et HTTPS : quelle différence entre ces deux protocoles ?
Pour faire simple, lorsqu’une URL commence par HTTP, cela signifie qu’aucun chiffrement des données n’est mis en œuvre. Dans ce cas, l’URL utilise le protocole de transfert hypertexte ou « HyperText Transfer Protocol ». Il s’agit d’une norme créée par Tim Berners-Lee dans les années 1990, à l’époque où Internet n’était encore qu’à ses balbutiements. Le protocole HTTP permet aux navigateurs et aux serveurs web de communiquer via l’échange de données.
HTTP est également appelé « protocole sans état », ce qui signifie qu’il permet une connexion à la demande. Lorsque vous cliquez sur un lien qui demande une connexion, votre navigateur web envoie cette requête au serveur qui, à son tour, va répondre en ouvrant la page en question. Plus votre connexion est rapide, plus les données vous sont présentées rapidement.
Ce protocole se concentre uniquement sur la présentation des informations. Comme il se soucie moins de la manière dont ces informations transitent d’un endroit à l’autre, cela peut poser problème, car le protocole HTTP peut être intercepté et potentiellement modifié. Ceci rend vulnérables les informations ainsi que l’internaute qui cherche à consulter la page web demandée.
HTTPS n’est pas le contraire de HTTP. Comme vous pouvez le constater, il s’agit plutôt de son petit cousin qui fait aussi référence au « protocole de transfert hypertexte » pour permettre aux informations demandées sur le web d’être présentées sur votre écran. Néanmoins, HTTPS présente une légère différence, mais très importante : il est plus avancé et beaucoup plus sûr que HTTP.
Si cela vous semble un peu flou, on peut dire simplement que HTTPS est une extension de HTTP. Le « S » à la fin de l’acronyme vient du mot « Secure ». Ce qui caractérise ce protocole est qu’il est alimenté par la technologie de sécurité TLS (« Transport Layer Security ») qui établit une connexion chiffrée entre un serveur web et votre navigateur. Si l’URL que vous consultez n’utilise pas le protocole HTTPS, toutes les données que vous saisissez sur le site (nom d’utilisateur, mot de passe, numéro de carte de crédit, coordonnées bancaires, etc.) seront donc envoyées en clair et seront susceptibles d’être écoutées ou interceptées par des pirates informatiques.
Tous les filtres web ne peuvent pas bloquer les sites internet en HTTP. Par exemple, certains peuvent bloquer HTTP://facebook.com, mais pas HTTPs://facebook.com. Cela permet aux utilisateurs de contourner facilement le filtre, ce qui se traduit par une perte de temps et des risques accrus pour les entreprises.
Des sites populaires, dont Facebook, YouTube et LinkedIn, ont récemment adopté la norme HTTPS. C’est une bonne nouvelle pour la sécurité. Mais c’est aussi une mauvaise nouvelle pour les entreprises utilisant une solution de filtrage web qui n’est pas capable de bloquer les sites en HTTPS, ou celles qui doivent acheter un composant supplémentaire pour ce faire.
Voici pourquoi vous devriez utiliser un filtre web HTTPS
Chaque organisation doit pouvoir autoriser ou bloquer les sites en HTTPS.
Voici les raisons :
1. Augmenter la productivité
Par le passé, l’extension HTTPS était utilisée pour les transactions en ligne, les opérations bancaires et bien d’autres sessions sensibles. De nos jours, même les sites web qui ne traitent pas des données sensibles adoptent cette extension.
Les sites de réseaux sociaux comme Facebook, Twitter, YouTube sont souvent bloqués par les entreprises pour certains employés, mais ces sites utilisent maintenant HTTPS par défaut.
Pour une petite entreprise, avoir un filtre web capable de bloquer HTTPS est donc le moyen le plus pratique d’éviter de perdre du temps sur ces sites.
2. Bloquer les sites web dangereux
Il existe des millions de sites web à risque sur Internet. Ils ont généralement des antécédents en termes de transmission de logiciels malveillants ou de fraudes en ligne. Des techniques telles que l’usurpation d’adresse (spoofing) ; les attaques « drive by download » ; le vol de session (session hijacking) et d’autres tactiques peuvent infecter un PC d’utilisateur avec des logiciels malveillants.
À noter que ces techniques fonctionnent sur les sites en HTTP et en HTTPS. Le filtre HTTPS peut donc aider les entreprises à se protéger contre ces dangers.
3. Bloquer le contenu offensant d’un site web
Les sites web contenant des contenus inappropriés sont courants sur le Web. Ces sites peuvent également utiliser HTTPS.
La seule façon pour une organisation de se protéger de ces contenus offensants est d’utiliser un filtre web qui peut gérer à la fois les sites en HTTP et en HTTPS.
4. Conformité
De nombreuses industries sont tenues d’améliorer la sécurité de leurs réseaux. Certaines normes, comme la « Children’s Internet Protection Act » (CIPA), exigent que les organisations filtrent les contenus Web.
Toute industrie qui a besoin d’un filtrage HTTP est presque certaine d’avoir aussi besoin d’un filtrage HTTPS, pour les raisons décrites ci-dessus.
Ce qu’il faut savoir avant de passer à HTTPS
Maintenant que vous avez compris les avantages d’utiliser le protocole HTTPS, il est temps de comprendre comment passer réellement du HTTP au HTTPS. En fait, ce processus peut nécessiter un certain nombre d’étapes, mais en général, il n’est pas si difficile puisqu’il s’agit d’un processus à sens unique. Attention toutefois, car de nombreuses personnes s’égarent pendant la migration, probablement à cause du grand nombre d’options qui leur sont proposées.
Voici donc ces quatre étapes :
1. Achetez un certificat SSL auprès d’une autorité de certification de confiance
Un certificat SSL est un fichier de données liant une clé cryptographique aux informations de votre organisation. Il est préférable de l’acheter directement auprès de votre société d’hébergement.
2. Installez le certificat SSL sur votre compte d’hébergement de votre site
C’est l’autorité de certification de confiance qui va s’assurer que le certificat SSL est activé et installé correctement sur votre serveur. Demandez à votre société d’hébergement de l’installer et, si vous l’avez acheté auprès d’une tierce partie, il faudra importer le certificat dans l’environnement d’hébergement. Sans assistance, cette opération peut s’avérer assez délicate.
3. Assurez-vous que les liens internes sont désormais en HTTPS
Avant de procéder à la conversion, vous devez vérifier que chaque lien interne de votre site web comporte l’URL HTTPS appropriée. Cette vérification est importante, car si vous mettez en ligne de liens qui mélangent HTTP et HTTPS, cela va perturber les lecteurs et aura un impact sur le référencement de votre site, voire entraîner le chargement incorrect de certaines fonctionnalités de la page.
4. Configurez des redirections 301 pour informer les moteurs de recherche
Si vos utilisez un site CMS, vous pouvez rediriger automatiquement tout le trafic du serveur vers le nouveau protocole HTTPS grâce à un plug-in. Si ce n’est pas le cas, votre site web devra être mis à jour manuellement. Les redirections 301 ont pour rôle d’alerter les moteurs de recherche que votre site a fait l’objet d’une petite modification et qu’ils devront l’indexer selon le nouveau protocole HTTPS. Ce faisant, les utilisateurs qui avaient déjà ajouté votre site à leurs favoris sous l’ancien protocole HTTP seront dirigés vers la nouvelle URL sécurisée.
Cela vous semble compliqué ?
Vous vous êtes peut-être demandé s’il est possible de faire vous-même la migration de votre site HTTP en HTTPS. En réalité, vous pouvez vous en sortir, même sans l’intervention d’un spécialiste, surtout si votre site Internet est encore à ses débuts. Mais si votre plate-forme en ligne est complexe et contient une importante quantité de contenus, vous aurez intérêt de faire recours à un spécialiste, notamment si vous n’êtes pas familier avec la manipulation des différents éléments qui composent votre site web. Ces actions peuvent même endommager votre site.
Heureusement, il existe actuellement de nombreuses sociétés spécialisées qui proposent des certificats SSL. Ces spécialistes de l’hébergement de sites web font eux-mêmes le gros du travail, c’est-à-dire les trois premières des quatre étapes susmentionnées. Il vous suffit de communiquer à vos visiteurs la nouvelle adresse de votre plate-forme en ligne. Bien entendu, cela peut vous coûter quelques euros supplémentaires.
Est-ce que tout repose sur le protocole TLS ?
TLS (Transport Layer Security) est un élément essentiel de l’infrastructure informatique. Et lorsque les sites web en HTTP l’utilisent pour sécuriser les communications entre leurs serveurs et leurs navigateurs web, on obtient donc l’extension HTTPS.
Essayez de penser de la manière suivante, le processus de migration de HTTP vers HTTPS est l’équivalent d’une destination. Le protocole SSL, quant à lui, est l’équivalent d’un trajet. Si le premier se charge d’acheminer les informations jusqu’à votre écran, le second gère la façon dont elles y arrivent. Lorsque ces deux protocoles travaillent conjointement, ils permettent de déplacer les données de manière sûre.
TLS est également très utilisé pour sécuriser d’autres protocoles :
SMTP (Simple Mail Transfer Protocol) peut par exemple utiliser TLS pour accéder aux certificats afin de vérifier l’identité des terminaux. Les fournisseurs ont créé des VPN basés sur TLS, tels qu’OpenVPN et OpenConnect. De tels VPNs ont des avantages pour le pare-feu et permettent aux datagrammes IPsec de traverser un réseau utilisant la technologie NAT par rapport aux VPNs IPsec traditionnels.
TLS est une méthode standard pour protéger la signalisation de l’application SIP (Session Initiation Protocol). TLS/SSL n’est pas la valeur par défaut sur de nombreux sites web ou parties de sites web. Une étude réalisée en 2014 sur un million de sites web a montré qu’environ 450 000 seulement prenaient en charge TLS, par opposition à l’ancien SSL (source : HTTPs://jve.linuxwall.info/blog/index.php?post/TLS_Survey).
En fait, les sites web en TLS/SSL sont le plus souvent très différents de leurs homologues non sécurisés. Par exemple, la version sécurisée par TLS de HTTP://en.wikipedia.org/wiki/ est HTTPs://secure.wikimedia.org/wikipedia/en/wiki. Autrement dit, il ne suffit pas de remplacer HTTP:// par HTTPs:// pour mieux sécuriser le site.
C’est pourquoi l’Electronic Frontier Foundation a proposé l’extension HTTPS Everywhere pour les navigateurs. Le module complémentaire active les fonctions de sécurité TLS si elles sont présentes sur les sites web concernés, mais il ne peut pas les créer si elles n’existent pas encore.
Les vulnérabilités du protocole TLS
Lorsque le Trustwortworthy Internet Movement, une organisation à but non lucratif, a analysé les vulnérabilités SSL sur les 20 000 sites web les plus populaires au monde, elle a signalé en janvier 2016 que 64 % des sites sondés présentaient une sécurité insuffisante.
Il convient de noter que SSL n’est pas sûr. À partir de 2014, la version de SSL 3.0 a été considérée comme non sécurisée, car elle est vulnérable à l’attaque Poodle qui affecte tous les chiffrements par blocs SSL.
L’implémentation de SSL 3.0 de RC4, le seul chiffrement non bloqué pris en charge, peut être cassée. Le protocole TLS a été donc révisé à plusieurs reprises pour tenir compte des vulnérabilités en matière de sécurité. Mais comme pour tout logiciel non corrigé, l’utilisation d’anciennes versions peut conduire à l’exploitation des vulnérabilités ayant déjà été corrigées.
TLS peut être transmis en utilisant le protocole TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Même si TCP possède des fonctionnalités plus sécurisées qu’UDP, dans les deux cas, les transmissions TLS peuvent encore être compromises par certaines vulnérabilités. Idem pour la cryptographie à clé publique, le chiffrement et l’échange de clefs.
TLS a été intégré dans de nombreux progiciels utilisant des bibliothèques « open source ». Selon un article présenté à la conférence de l’Association for Computing Machinery en 2012 sur la sécurité informatique et des communications, peu d’applications utilisaient correctement certaines de ces bibliothèques SSL, ce qui renforce les vulnérabilités.
Le bug Heartbleed a par exemple affecté un composant d’OpenSSL, une bibliothèque « open source » qui était largement utilisée pour l’implémentation de protocoles de sécurisation des échanges SSL. Cet incident a permis aux cybercriminels de voler les clés privées des serveurs, ce qui a affecté environ un demi-million de sites web.
Le point le plus faible d’une connexion SSL/TLS est l’échange de clés. Si l’algorithme est déjà connu de l’attaquant et que la clé publique du serveur a été compromise, en théorie, ce système est ouvert aux attaques « Man in The Middle ». L’attaquant serait alors en mesure de surveiller le client subrepticement.
HTTPS réserve un seul port (TCP 443) pour l’échange de clés. Ainsi, les attaques « Distributed denial-of-service », lesquelles sont très évoluées, doivent inonder ce seul port afin de paralyser le réseau d’une organisation.
La Trustworthy Internet Movement a signalé que 91 % des sites web étaient vulnérables à l’attaque « Beast », lors de laquelle un attaquant peut utiliser les caractéristiques de données chiffrées pour deviner leur contenu.
Certains sites web prennent en charge les SSL/TLS plus anciens pour une compatibilité ascendante, c’est-à-dire la compatibilité d’un protocole vis-à-vis des versions plus récentes. En juin 2016, ladite organisation a estimé que 26 % des sites web proposent le « protocol fallback », une solution de recours destinée à prévenir la défaillance totale d’un système.
Mais cela peut être une opportunité pour des attaques « protocol downgrade » telles que Drown. Cette attaque permet par exemple de récupérer la clef d’une session TLS et de déchiffrer la communication interceptée, ce qui peut affecter OpenSSL.
Tous les détails de Drown ont été annoncés en mars 2016, ainsi qu’un patch pour le kit d’exploitation. À l’époque, sur un million de sites les plus populaires, 81 000 faisaient partie des sites protégés par le TLS et étaient vulnérables à l’attaque Drown.
Alors, les protocoles TLS et SSL sont-ils sécurisés ?
Si votre organisation utilise exclusivement la version TLS la plus récente et tire parti de toutes les fonctions de sécurité de ce protocole, vous avez une longueur d’avance en termes de sécurité informatique.
Afin de protéger votre entreprise contre les malwares dissimulés sous une couche de SSL, vous avez toutefois besoin d’un filtre web ou d’une passerelle web capable d’intercepter et de déchiffrer le trafic SSL. Cette solution est relativement simple à mettre en place.
Le filtre web crée une connexion sécurisée entre le navigateur client et le filtre, puis déchiffre le trafic SSL sur lequel le trafic est analysé.
Une fois examiné, le trafic est à nouveau chiffré et une autre connexion sécurisée est créée entre le filtre web et le serveur web. Cela signifie que le filtre web agit effectivement comme un serveur proxy SSL et peut donc intercepter la connexion SSL tout en inspectant le contenu.
Google Chrome pourrait étiqueter tous les sites en HTTP comme non sécurisés
Google a annoncé que son navigateur, Google Chrome, adoptera une mesure plus rigoureuse quant au chiffrement web, marquant les sites qui n’utilisent pas l’extension HTTPS comme non sécurisée.
Cette règle prendra effet à partir de janvier et s’appliquera à tout site qui demande un mot de passe ou de renseignements via une carte de crédit. À terme, Chrome étiquettera tous les sites HTTP comme non sécurisés.
Le filtrage Web pour HTTPS comme standard
Les solutions de filtrage WebTitan analysent le trafic chiffré de façon plus facile et abordable. La possibilité d’analyser le trafic HTTPS – par exemple le courrier web et la plupart des réseaux sociaux – est une épine dans le pied de nombreuses entreprises qui utilisent un filtre web ; qui ne peuvent pas bloquer les extensions HTTPS ou qui nécessitent l’achat d’un composant supplémentaire pour ce faire. Le coût et les inconvénients peuvent être considérables.
WebTitan peut vous fournir une couche supplémentaire de contrôle granulaire pour le filtrage HTTP et HTTPS avec intégration Active Directory. L’inspection SSL permet à WebTitan de traiter le trafic HTTPS chiffré.
En termes simples, HTTPS est un protocole SSL superposé sur HTTP. Il parvient à sécuriser le réseau en inspectant le contenu du trafic HTTPS, puis en réalisant un déchiffrement et un rechiffrement de ce trafic.
Avec WebTitan, le filtrage web pour HTTPS est inclus en standard. Ceci comprend toutes les fonctions de sécurité que nous offrons, ainsi qu’un support technique gratuit.
Que faut il faut retenir ?
Il existe de nombreuses raisons pour lesquelles vous souhaitez rendre votre site sécurisé. D’une part, vous voulez peut-être protéger vos informations sensibles et, d’autre part, vous voulez vous assurer que les internautes soient à l’aise lorsqu’ils naviguent sur votre site. Qu’à cela ne tienne, vous devez donc songer à vos passer du protocole HTTP et migrer vers HTTPS. Le plus dans tout cela est que, lorsque vous allez opter pour cette solution, vous allez constater son impact sur votre référencement.
Alors, si vous n’avez pas encore basculé votre site Internet en HTTPS, il est peut-être temps de le faire, même s’il y a un certain nombre d’étapes que vous devrez franchir. Comme HTTPS est désormais devenu le protocole standard, l’effort qu’il faudra fournir pour mener à bien la migration vaut bien le résultat. Plus vous hésitez, plus votre site risque de présenter des failles et d’être distancé par ses sites concurrents.
N’oubliez pas que, même si vous avez déjà adopté le protocole HTTPS, ce n’est qu’un début pour renforcer la sécurité et le référencement de votre site. Vous pouvez aussi donner à votre organisation une sécurité sans compromis avec WebTitan.
FAQs
Quelle est exactement la différence entre HTTP et HTTPS ?
Techniquement, il n’y a aucune différence, car le protocole qu’ils utilisent est le même. En d’autres termes, la syntaxe est identique pour ces deux variantes. Ce qui les différencie, c’est que le HTTPS utilise un protocole de transport particulier, plus précisément le protocole SSL/TLS. Ce n’est donc pas le protocole qui doit être remis en question, mais son mode de transport sécurisé de façon supplémentaire.
Mais pourquoi utiliser le protocole HTTP ?
HTTP est un protocole dédié à vous permettre de créer des connexions à la demande. Plus votre connexion est rapide, plus la page demandée s’affiche rapidement. Le fait est que ce protocole ne se soucie pas de la façon dont les informations sont transmises d’un endroit à un autre. Elles peuvent donc être interceptées, et éventuellement détournées, par des pirates informatiques.
Comment le protocole HTTPS est-il sécurisé ?
En gros, le « S » à la fin du protocole est une extension qui signifie « Secure » ou « sécurisé », car il fonctionne grâce au protocole TLS ou « Transport Layer Security », le successeur du protocole SSL ou « Secure Sockets Layer ». C’est actuellement la technologie de sécurité standard qui permet d’établir une connexion chiffrée entre un navigateur et un serveur web.
Pourquoi utiliser une connexion chiffrée ?
L’ajout d’un certificat SSL permet de sécuriser les données à l’aide d’un chiffrement. Ainsi, même si les cybercriminels parviennent à intercepter vos informations, il leur sera très difficile de les déchiffrer.
Mon site utilise encore le protocole HTTP, comment passer à HTTPS ?
Pour sécuriser le site web de votre entreprise avec le protocole HTTPS, il suffit de contacter votre hébergeur. Il va émettre et installer un certificat SSL afin de rediriger votre trafic vers la version HTTPS.
