Sécuriser la navigation web se limiter encore il y a quelques années à installer un antivirus sur le poste de travail. Puis sont venues les solutions de filtrage d’URL afin non seulement de mieux contrôler l’usage du web dans l’entreprise mais aussi d’empêcher la visite de sites malveillants, et éviter ainsi l’infection du poste de travail.

Mais ces deux approches ne semblent désormais plus suffisantes. Les antivirus se révèlent peu performants face aux parasites servis depuis des sites malveillants, tandis que le filtrage d’URL sur la passerelle peine à suivre le rythme des sites infectieux (souvent légitimes et compromis, ce qui ne facilite pas leur mise en liste noire !).

Deux nouvelles tendances émergent désormais pour mieux protéger la navigation web. La première, la plus radicale, consiste à décréter que le poste de travail sera de toute manière compromis ou qu’il l’a déjà été. Dans le premier cas, l’objectif est alors de faire en sorte que cette compromission soit temporaire et contenue, tandis que dans le second il s’agit d’isoler le navigateur des parasites qui occupent le reste de la machine (et notamment les intercepteurs de frappe au clavier). Dans tous les cas, ces solutions reposent entièrement sur la virtualisation.

La seconde approche consiste à déporter les opérations de filtrage dans le nuage, alors qu’elles étaient jadis réalisées localement sur le poste de travail ou sur la passerelle web de l’entreprise. Cela offre au fournisseur du service l’opportunité de réaliser des traitements plus lourds que ce qui ne serait possible localement, tout en disposant d’une capacité de stockage infinie et d’un temps de réaction quasi-immédiat pour ses mises à jour. Toutes ces solutions sont donc basées sur un service offert en mode SaaS.

Des solutions de filtrage en mode SaaS…

Du côté du filtrage en mode SaaS, nous avions déjà présenté l’américain Zscaler l’an dernier, mais il n’est plus le seul sur ce créneau. Network Intercept , par exemple, propose Secure-Me, une version modifiée du navigateur Firefox conçue pour n’échanger qu’à travers un tunnel VPN vers les serveurs de l’éditeur. Ce sont eux, ensuite, qui vont récupérer les pages demandées et procèdent au passage à leur filtrage.

Outre un filtrage antivirus traditionnel réalisé sur le nuage (par l’antivirus Libre ClamAV, ce qui est plutôt décevant pour un service payant), Secure-Me propose surtout localement un système propriétaire destiné à contrer l’action d’un éventuel keylogger en parasitant les frappes recueillies depuis le clavier.

Le français CommonIT, dont nous avions également parlé dans nos colonnes, tombe également dans cette catégorie lorsque sa solution est utilisée en mode SaaS (le navigateurs sont déportés sur sa plate-forme et seul l’affichage est en local). La solution peut toutefois également être installée localement, dans le centre de données de l’entreprise.

Toute une vague d’autres acteurs sont attendus sur ce créneau du filtrage web en mode SaaS, comme nous le notions plus récemment : PureWire, ScanSafe ou MX Logic ont tous été rachetés par de grands acteurs de la sécurité email et pourraient bientôt servir de bases à une nouvelle génération de solutions de filtrage web en mode SaaS ou hybrides (SaaS et local). C’est d’ailleurs également l’analyse que fait le cabinet Radicati de ce marché.

De son côté, même IronKey, qui propose par ailleurs une offre de surf sécurisé basée essentiellement sur la virtualisation (voir plus bas), fait tout de même transiter les flux web par ses Secure Sessions servers.

Le fait de devoir transiter par un datacenter tiers pour la navigation présente certes des avantages (notamment en terme d’isolation des sessions de navigation et, d’après les éditeurs, de performances) mais pose aussi la question de la confidentialité des flux. La pratique n’est cependant pas neuve et ne semble pas traumatiser les entreprises outre mesure : l’éditeur Opera s’y étant déjà essayé pour la version mobile de son navigateur, sans rencontrer de réticence exagérée de la part de ses utilisateurs y compris en entreprise (dans le cas d’Opera les pages web demandées depuis un terminal mobile sont retravaillées afin de les adapter aux contraintes d’affichage du mobile).

… et de la virtualisation

Sur le front de la virtualisation, les solutions consistent à créer un système virtuel totalement indépendant de celui du poste de travail, démarré par exemple depuis une clé USB. De fait tout parasite actif sur le poste ne sera pas en mesure d’accéder aux flux web, et toute infection contractée durant la navigation n’aura aucun impact sur le système hôte. Et, accessoirement, le système virtuel destiné à la navigation peut être largement plus blindé qu’un système généraliste (et être basé, par exemple, sur un Linux plutôt qu’un Windows plus aisément exploitable par les parasites actuels).

Un très bon exemple d’une telle offre est IronKey Trusted Access. La clé USB embarque son propre système d’exploitation sécurisé (basé sur Linux) virtualisé au sein du système hôte du poste de travail. Dédiée à la banque en ligne, la solution propose également un navigateur verrouillé qui s’ouvre automatiquement sur le site de la banque choisie au moment de la personnalisation de la clé.

D’autres éditeurs, tels Checkpoint avec son bureau sécurisé virtuel, ou encore CommonIT lorsque sa solution est déployée en interne, s’appuient également sur la virtualisation pour isoler les sessions de navigation sensibles de l’ordinateur hôte. La technologie est donc ici essentiellement utilisée pour répliquer une pratique courante dans les entreprises qui consiste à réserver un PC à la seule connexion aux outils métiers les plus sensibles. Après tout si la virtualisation est jugée suffisante pour isoler plusieurs serveurs métiers, pourquoi ne le serait-elle pas pour isoler un navigateur ?

Si toutes ces solutions paraissent encore complexes ou anecdotiques, il s’agit en tout cas très certainement d’une tendance de fond : la navigation web ne pourra plus être protégée longtemps telle qu’elle l’est aujourd’hui. Quelque soit le dosage des solutions à venir (mode SaaS ou non, virtualisation ou filtrage), elles s’appuieront très certainement sur ces deux composantes.