En 2022, il y a eu un énorme battage médiatique autour de la sécurité des navigateurs et des navigateurs d'entreprise. Mais même s’ils prétendent offrir une « sécurité de niveau entreprise », les navigateurs d’entreprise sont en réalité loin d’être parfaits. En fait, ils présentent des inconvénients critiques.

Quels sont-ils et quelle est l’alternative ? Dans ce blog, je ferai la distinction entre la sécurité des navigateurs et les navigateurs d'entreprise, j'aborderai les avantages et les inconvénients de chacun et je ferai la lumière sur la dette du navigateur encourue lors de la migration vers un navigateur d'entreprise. Lisez la suite pour voir quelles sont les affirmations des sociétés de navigateurs d'entreprise et si elles peuvent réellement les respecter.

Le navigateur a besoin de plus de sécurité. Un navigateur d'entreprise est-il la bonne solution ?

Au cours des dernières années, des changements tectoniques ont eu lieu dans le domaine informatique. Ces changements ont rendu les solutions de sécurité traditionnelles, telles que les pare-feu, les SWG, les VDI et les VPN, inutiles. Les outils de sécurité réseau ne peuvent pas inspecter les applications SaaS complexes, qui sont de plus en plus répandues au sein du personnel. Les employés travaillent à distance et je déteste naviguer via un VPN. Les données sont dispersées entre d’innombrables applications et sont difficiles à protéger. Postes de travail virtuels sont chers et offrent de mauvaises performances ; ce ne sont pas les bons outils pour accéder aux applications Web.

En d’autres termes, les outils les plus couramment utilisés de la pile de cybersécurité des entreprises deviennent inutiles. Il s’agit d’une tempête parfaite qui a poussé les organisations à rechercher une solution de sécurité de navigateur moderne offrant visibilité, sécurité et contrôle sur chaque session Web. 

La véritable sécurité du navigateur nécessite d'aborder le point de vue du navigateur, pour garantir qu'il prend en compte le cryptage de bout en bout et le processus de rendu. Compte tenu de l'architecture du navigateur, une telle solution peut être fournie de deux manières :

  • Une extension de navigateur au-dessus du navigateur existant (le résultat est similaire à un EDR au-dessus du système d'exploitation)
  • Utiliser les moteurs de rendu Firefox ou Chromium pour créer un nouveau navigateur (le résultat est similaire à la personnalisation d'un système d'exploitation Linux/Android pour créer une nouvelle version)

Qu'est-ce qu'un navigateur d'entreprise ?

Navigateurs d'entreprise (alias « navigateurs d'entreprise sécurisés ») sont des navigateurs basés sur Chromium (ou Firefox) conçus pour l'environnement d'entreprise. Ils fournissent des capacités de rendu Chrome (ou Firefox). Mais au lieu des fonctionnalités natives de Chrome/Edge, ils introduisent leurs propres fonctionnalités de sécurité, de gestion et d'identité.

Les navigateurs d'entreprise demandent aux clients de dire au revoir à leurs bien-aimés Chrome, Edge, Firefox et Safari au profit de quelque chose de nouveau et prétendument plus sécurisé. En échange, ils supportent des frais d'abonnement mensuels, un processus de déploiement pas si simple et une dépendance rigide aux fournisseurs.

Les affirmations des fournisseurs de navigateurs d'entreprise, destinées à convaincre les organisations de les choisir, ne sont pas valables de mon point de vue. Dans la section suivante, je ferai référence à chacune de ces affirmations et fournirai mes deux cyber-cents à leur sujet.

« Une demi-vérité est souvent un grand mensonge » – Benjamin Franklin

 

Allégation n°1 : Chrome est le navigateur le plus vulnérable

FAUX

Il s’agit d’un exemple classique de biais de survie. Google n'est pas le navigateur le plus vulnérable, mais plutôt le navigateur le plus patché ! Le projet zéro de Google est le meilleur exemple d'analyse des vulnérabilités logicielles de l'histoire de l'informatique.

La plupart des vulnérabilités de Chromium sont découvertes par les ingénieurs de Google et seules quelques-unes sont exploitées dans la nature. De plus, le nombre de vulnérabilités distinctes requises pour exploiter avec succès ce navigateur est en forte augmentation. En fait, le bruit court dans la rue numérique est que si vous pouvez exécuter du code à distance avec une évasion sandbox, vous pouvez le vendre pour quelques millions de dollars.

Vous devriez en fait vous inquiéter davantage des produits qui ne divulguent pas leurs vulnérabilités. S’ils ne les divulguent pas, ils ne les réparent pas. Google, au contraire, est ouvert et transparent sur les vulnérabilités de Chromium, le maintient en tant que projet open source et démontre la routine de correctifs la plus rapide du secteur informatique. 

La vérité sous-jacente pour les RSSI est que les navigateurs Chromium offrent la meilleure architecture de sécurité dans leur environnement. Ce sont en fait les outils informatiques qui ne révèlent pas correctement les vulnérabilités qui devraient les inquiéter.

Si vous n'êtes pas d'accord, essayez de trouver un RSSI qui a été victime d'une exploitation Zero Day de Chrome ou essayez simplement d'exploiter Chrome vous-même.

Allégation n°2 : les navigateurs d'entreprise corrigent les vulnérabilités plus rapidement que Chrome

Plutôt faux

Google a un cycle de vie prévisible des versions logicielles. Chaque mise à jour logicielle est déployée selon les étapes suivantes : Canary, bêta, instable et stable. Parfois, il faudra quelques semaines pour qu’un nouveau morceau de code soit écrit et déployé dans le monde entier.

Certains navigateurs d'entreprise prétendent mettre en production les mises à jour logicielles plus rapidement que Google, ce qui signifie qu'ils corrigent les vulnérabilités plus rapidement que Chrome.

Cependant, les vulnérabilités importantes sont en réalité corrigées par Google de manière hors bande, en quelques jours et en dehors du cycle de vie habituel des versions de Chrome. Cela signifie que lorsqu’il s’agit d’une vulnérabilité de type merdique (grave, exploitée à l’état sauvage, etc.), Google fait un effort remarquable pour la corriger en un rien de temps.

Ce nouveau morceau de code dans Chromium n’est pas étiqueté comme lié à des problèmes de sécurité et va directement en production. En d’autres termes, les navigateurs d’entreprise n’ont aucun moyen de savoir si c’est important et quels problèmes de compatibilité peuvent survenir.

Mon conseil serait de demander au navigateur de votre entreprise de publier son historique des versions. Il est de bonne pratique pour les éditeurs de logiciels d'être transparents sur leur cycle de publication réel.

Allégation n°3 : le code du navigateur d'entreprise est plus sécurisé que le code du navigateur commercial et est immunisé contre les attaques sur le navigateur.

PEUT ÊTRE

Tout logiciel présente ses vulnérabilités et ses problèmes de sécurité (même un navigateur d'entreprise). La question est : existe-t-il des failles de sécurité dans les navigateurs standards ? La meilleure façon de répondre à cette question est de vérifier les moyens permettant de violer les navigateurs commerciaux. 

La réponse est fournie à la fois par les logiciels malveillants et les logiciels antivirus. Tous deux souhaitent accéder au navigateur pour surveiller l’activité – des logiciels malveillants pour voler des mots de passe et un logiciel antivirus pour bloquer les logiciels malveillants. Les deux le font généralement en déployant une extension de navigateur locale. Cela signifie qu'il est difficile de surveiller l'activité du navigateur, comme le navigateur est isolé dans un bac à sable avec un accès limité au reste du système et utilise le cryptage pour protéger les données. Il est en fait suffisamment sécurisé au niveau du code. 

Des lacunes existent, mais pas au niveau du code. Les fichiers de données du navigateur (cookies, fichiers de mots de passe et téléchargements) peuvent être consultés par des logiciels malveillants. Mais cela ne nécessite pas de modifier l’intégralité du navigateur. De plus, si vous avez peur des logiciels malveillants, le mieux est d’utiliser une solution de protection des points finaux. Utilisez le bon outil pour le travail.

Pour ajouter une remarque, je crains personnellement que le navigateur d’entreprise n’introduise plus de vulnérabilités que celles qu’il pourrait corriger. La raison en est que Chromium est pris en charge à la fois par Google et par un vaste écosystème impliqué dans son projet open source. Le code Chromium présente une norme étonnante en matière de base de sécurité. Je craindrais beaucoup plus d'un nouveau code qui interfère avec le code existant et la méthode de travail existante que du code Chromium.

Allégation n°4 : les navigateurs commerciaux n'offrent pas des capacités de gouvernance et de gestion suffisantes

PARTIELLEMENT VRAI

Pour les clients Google Workspace, Chrome Enterprise est gratuit et offre des fonctionnalités de gestion prêtes à l'emploi. Pour les utilisateurs d'Office365, il existe des paramètres Edge gérés qui peuvent être définis par les outils de gestion des appareils. Ils ne sont pas aussi granulaires que les navigateurs d’entreprise, mais ces lacunes peuvent être comblées grâce à une extension de navigateur d’entreprise.

Une extension de navigateur d'entreprise (telle que LayerX) ajoute des fonctionnalités de gestion en session et contrôle diverses API du navigateur. Cela permet de personnaliser les navigateurs existants et de les transformer en navigateurs sécurisés de niveau entreprise. Alors que le navigateur apporte la disponibilité et la fiabilité du trafic Web, l’extension ajoute des fonctionnalités de sécurité et de gouvernance.

En fait, c’est exactement ce que les fournisseurs de navigateurs autorisent intentionnellement. Les navigateurs gérés (Chrome et Edge), ainsi que Firefox et Safari, prennent tous en charge des fonctionnalités de personnalisation riches et stables avec des extensions de navigateur d'entreprise.

Allégation n°5 : les extensions ne sont pas aussi puissantes que le navigateur

NON PERTINENT ET PLUPART FAUX

Cette affirmation équivaut à dire qu’une cuillère à soupe est plus puissante qu’une cuillère à café. Cela dépend vraiment de ce que vous voulez remuer.

En ce qui concerne la sécurité du navigateur, la plupart des cas d'utilisation sont liés au contenu rendu (en termes simples : les sites Web sur lesquels nous naviguons). Les extensions ont la même accessibilité au contenu rendu (c'est-à-dire le post-décryptage, le code source, le DOM, le débogueur de navigateur et des tonnes de choses amusantes). Cela signifie qu'un outil plus simple que le navigateur peut faire le travail avec moins d'effort.

Les fonctionnalités qu'une extension ne peut pas gérer sont déjà assez bien traitées par les fournisseurs de navigateurs. Google, Microsoft, Mozilla et Apple font un travail incroyable en fournissant un produit SOTA contenant des tonnes de fonctionnalités de sécurité. En d’autres termes, vous ne comparez pas les navigateurs d’entreprise à une solution d’extension, mais plutôt les navigateurs d’entreprise à la combinaison Chrome+extension.

De plus, la puissance des navigateurs d’entreprise est une arme à double tranchant. Plus ils apportent de modifications à Chromium, plus il y a de chances qu'ils en dérivent, ce qui les rend impossibles à mettre à jour dans des délais raisonnables. Cela signifie que les navigateurs d'entreprise sont susceptibles d'apporter le moins de modifications possible au code Chromium, tout en basant l'essentiel de leur sécurité sur une extension groupée ou sur un proxy local.

Allégation n°6 : les navigateurs d'entreprise offrent la même expérience que Chrome

LA MOITIÉ DE LA VÉRITÉ

C'est Chromium qui offre une expérience SIMILAIRE à Chrome. L'expérience n'est pas identique et personne ne promet que Google continuera à partager l'essentiel de son code avec ses concurrents. Au fil du temps, nous voyons Google ajouter des fonctionnalités spécifiques à Chrome qui ne font pas partie de Chromium.

Ce que les navigateurs d'entreprise ne vous diront pas

Je prévois qu’en plus de leurs avantages uniques, les navigateurs d’entreprise présenteront également des inconvénients fâcheux qui feront pleurer de nombreuses équipes informatiques dans les années à venir.

Ces inconvénients comprennent:

  • Routine de correctifs peu fiable et incohérente : Les navigateurs d'entreprise ne publient pas leurs routines de correctifs. Mais en extrapolant à partir de Brave et Edge, cela peut leur prendre au moins 12 heures (et jusqu'à plusieurs jours) pour corriger les vulnérabilités Zero Day de Chromium qui ont été corrigées par Google de manière hors bande.
  • Incompatibilité potentielle des applications : Les entreprises continueront à créer leurs applications pour Chrome et Edge. Mais même si aujourd’hui un navigateur d’entreprise est totalement compatible, personne ne garantit que demain sera pareil. Tout code ajouté à Chromium peut avoir ses propres problèmes et bugs, ce qui signifie que les employés peuvent ne pas avoir accès aux applications dont ils ont besoin pour effectuer leur travail.
  • Visibilité partielle : Vos employés continueront d’utiliser autant qu’ils le peuvent les navigateurs commerciaux (pour le travail ou pour le plaisir). Cela signifie que vous vous retrouverez avec d’énormes lacunes, ce qui pourrait entraîner une perte de données sur les fonctionnalités et des menaces.
  • Le pire verrou fournisseur de l’histoire de la cybersécurité : Imaginez que vous utilisez un navigateur d'entreprise. Vous en êtes satisfait. Cependant, un meilleur navigateur d’entreprise coûte moins cher. Comment allez-vous migrer ? Toutes vos préférences, identités, mots de passe et cookies sont stockés dans votre navigateur existant. Les sociétés de navigation annoncent que tous leurs cookies sont cryptés et que toute la mémoire est entièrement isolée. S’il fait le travail qu’il prétend faire, vous vous retrouverez alors bloqué par un fournisseur.
  • Perte de capacités gratuites : Vos navigateurs existants sont dotés de fonctionnalités étonnantes. Chrome possède la meilleure liste de blocage du secteur. Edge dispose du meilleur service d'isolation local (AppGuard). Firefox apporte des fonctionnalités de confidentialité incroyables. La liste se rallonge de plus en plus. Gardez à l’esprit qu’en utilisant ces navigateurs, vous obtenez gratuitement une grande valeur.
  • Frottement infini : Un jour, quelque chose ne fonctionnera pas avec le navigateur d'entreprise. Cela peut être dû à un problème du côté du fournisseur du navigateur d'entreprise, à Google limitant la capacité des autres navigateurs à utiliser Chromium ou à une simple erreur d'un employé. Une chose est sûre : l'employé est le plus susceptible de dire « ce navigateur ne fonctionne pas. C’est nul. L'utilisation d'un navigateur d'entreprise entraînera probablement beaucoup de frictions avec votre personnel, car très peu de produits de sécurité demandent aux employés de modifier leur façon de travailler. Changer la façon dont les gens travaillent est plus un fardeau culturel qu’un atout en matière de sécurité.
  • La lutte pour l’identité numérique : La fonctionnalité numéro un de Chrome et Edge (la cerise sur le gâteau) est leur intégration avec l’identité du cloud office. Cela signifie que pour les organisations utilisant Google Workspace, Chrome fournit un profil de navigateur attaché à l'identité Google. Pour les utilisateurs d'Office365, Edge propose un profil de navigateur attaché à l'identité Microsoft. Cela signifie que presque toutes les organisations bénéficient déjà d'un navigateur géré payant (Chrome ou Edge) qui fonctionne à merveille avec sa suite d'applications SaaS correspondante. Passer à un autre navigateur dégradera cette expérience et ajoutera un autre service d'identité (inutile) à la pile informatique. Au lieu d’ajouter de la sécurité, cela ne fera que semer la confusion parmi les employés et augmenter les frais informatiques.

L'alternative sécurisée et fluide aux navigateurs d'entreprise

Il y a une chose sur laquelle les sociétés de navigateurs d'entreprise sont parfaitement conscientes ; le navigateur est l'espace de travail le plus important et la source de visibilité la plus précieuse sur l'organisation. Chez LayerX, nous pensons que la solution pour sécuriser les navigateurs est simple : nous devons apporter autant de sécurité que possible aux navigateurs existants.

De la même manière que les systèmes d'exploitation sont sécurisé par la protection des points finaux (au lieu d'une version Linux renforcée) et des services de messagerie par des outils de sécurité de messagerie (au lieu d'un « courrier électronique sécurisé » personnalisé), une plate-forme de sécurité de navigateur est la solution aux problèmes de sécurité du navigateur.

Utilisation de l'année extension de navigateur d'entreprise apporte toutes les capacités de sécurité possibles au navigateur, sans compromettre l'expérience utilisateur.