Mode protégé amélioré

IEBlog Français

Blog de l'équipe de développement de Windows Internet Explorer

Mode protégé amélioré

  • Comments 0

Chaque nouvelle version d'Internet Explorer est pour nous l'occasion d'introduire de nouvelles améliorations liées à la sécurité, pour assurer votre protection lorsque vous naviguez sur le Web. Le nouveau Mode protégé amélioré d'Internet Explorer 10 protège vos données même si une personne malveillante a exploité l'une des vulnérabilités du navigateur ou de l'un de ses modules complémentaires.

Il n'existe pas de moyen unique capable d'assurer votre sécurité. Aussi, notre stratégie est multiple :

Protection contre les attaques par ingénierie sociale

De nombreuses personnes malveillantes sont prêtes à dérober vos informations personnelles ou à prendre le contrôle de votre ordinateur en se faisant passer pour des sites Web de confiance. Le filtre SmartScreen assure la meilleure protection possible face aux attaques utilisant des techniques d'hameçonnage ou des programmes malveillants. Dans Windows 8, ce dispositif de protection a été ajouté au shell Windows, afin de vous protéger contre les programmes malveillants, quelle que soit la manière dont ils ont été téléchargés.

Protection contre les attaques conçues pour exploiter les vulnérabilités des sites Web

Les sites Web apparemment « respectables » peuvent présenter des vulnérabilités de sécurité permettant à des sites malveillants de dérober vos données ou de réaliser des opérations en empruntant votre identité. Nous vous protégeons à l'aide du filtre XSS, qui bloque automatiquement certains types d'attaques et facilite la sécurisation des sites à travers des fonctionnalités de sécurité déclarative, telles que la nouvelle fonctionnalité de bac à sable HTML5 d'IE10.

Protection contre les attaques conçues pour exploiter les failles de sécurité du navigateur ou du système d'exploitation

Grâce aux mises à jour automatiques, vous êtes certain que les dernières mises à jour sont installées sur votre PC. Ainsi, vous êtes protégé contre les problèmes de sécurité qui ont été corrigés. IE9 a ajouté des fonctionnalités de protection de mémoire, pour rendre l'exploitation de certains types de vulnérabilités plus difficile et nous avons amélioré ces fonctionnalités dans IE10. Nous avons également ajouté un niveau de protection supplémentaire dans IE10 : le mode protégé amélioré.

Mode protégé amélioré

Le mode protégé, ajouté dans IE7 pour Windows Vista, est une fonctionnalité de défense en profondeur qui contribue à empêcher les assaillants d'installer des logiciels ou de modifier des paramètres système lorsqu'ils parviennent à exécuter du code malveillant exploitant une faille de sécurité. Ce niveau de protection supplémentaire verrouille certaines parties de votre système qui ne sont en principe pas utilisées par votre navigateur. Ainsi, en règle générale votre navigateur n'a pas besoin de modifier des paramètres système, ni d'écrire des données dans votre dossier Documents. Le mode protégé s'appuie sur le principe de séparation des privilèges : en limitant les fonctionnalités dont dispose Internet Explorer, les fonctionnalités disponibles pour exploiter des failles de sécurité sont mécaniquement réduites.

Le mode protégé amélioré approfondit ce concept en limitant d'autres fonctionnalités. Voici une liste contenant quelques-uns des dispositifs utilisés par le mode protégé amélioré pour assurer votre protection :

Processus 64 bits

La plupart des PC vendus au cours de ces dernières années sont équipés de processeurs 64 bits et sur bon nombre d'entre eux, une version 64 bits de Windows est installée. L'avantage des processeurs 64 bits est qu'ils permettent d'étendre la quantité de mémoire pouvant être utilisée par un programme sur votre ordinateur : comme les processeurs 64 bits utilisent des adresses mémoire 64 bits en lieu et place des adresses mémoire 32 bits, les programmes peuvent adresser (c'est-à-dire utiliser) plus de mémoire, si elle est disponible.

Une valeur 32 bits est très grande, supérieure à 4 milliards. Une adresse 64 bits est encore plus grande et représente environ 18 billiards (18 446 744 073 709 551 616). Une valeur 64 bits vous permet non seulement d'adresser plus de mémoire, mais aussi de rendre certaines fonctionnalités de protection mémoire existantes plus efficaces, notamment la fonctionnalité de randomisation du format d'espace d'adressage. Les attaques par pulvérisation des segments de mémoire (heap spray), utilisées par les personnes malveillantes pour installer du code malveillant à des emplacements prévisibles sont de plus en plus difficiles. En effet, il est bien plus délicat de « remplir » un espace d'adressage 64 bits : la mémoire et l'espace disque seront rapidement saturés avant même qu'une partie significative de l'espace d'adressage ait pu être pulvérisé.

Protection de vos informations personnelles

Lorsque vous exécutez un programme, celui-ci peut accéder à toutes les informations présentes sur l'ordinateur auxquelles vous-même avez accès, y compris à vos documents personnels. Avec le mode protégé amélioré, Internet Explorer n'a accès aux emplacements contenant vos informations personnelles qu'avec votre accord. Cela empêche le code exploitant des failles de sécurité d'accéder à vos informations personnelles sans votre autorisation.

Prenons l'exemple d'un site de messagerie Web. Si vous souhaitez joindre un fichier de votre dossier Documents à un courrier électronique, Internet Explorer doit obtenir votre autorisation pour accéder au fichier et l'envoyer à votre fournisseur de messagerie. Avec le mode protégé amélioré, un « processus d'intermédiation » accorde à Internet Explorer un droit d'accès temporaire au fichier uniquement si vous cliquez sur « Ouvrir » dans la boîte de dialogue de transfert de fichier :

Capture d'écran illustrant l'ajout d'un fichier du dossier Documents à un courrier électronique, par le biais d'une application de messagerie Web

Vous remarquerez qu'aucun autre message de confirmation ne s'affiche. L'intermédiation est réalisée automatiquement une fois que vous avez décidé d'ouvrir un fichier. Ainsi, Internet Explorer peut en quelque sorte accéder à un seul coffre de dépôt lorsqu'il le demande, au lieu d'accéder à l'intégralité du coffre-fort à l'aide d'un passe-partout.

Protection de vos ressources d'entreprise

La plupart des réseaux d'entreprise ou « intranets » contiennent de précieuses informations qu'il convient de garder à l'abri des personnes malveillantes. Par trois moyens différents, le mode protégé amélioré empêche les codes exploitant des failles de sécurité d'accéder aux ressources du réseau d'entreprise : Tout d'abord, les processus d'onglet Internet dans lesquels les pages Internet non fiables sont chargées n'ont pas accès aux informations servant à l'identification auprès du domaine. En outre, ils ne peuvent pas jouer le rôle de serveurs Web locaux et il est donc plus difficile d'emprunter l'identité d'un site Intranet. Enfin, les onglets Internet ne peuvent pas établir de connexion avec des serveurs intranet.

Paramètres par défaut et compatibilité

Avec l'application de style Metro Internet Explorer, le mode protégé amélioré est toujours activé : vous n'avez rien à configurer, vous naviguez comme vous le souhaitez. Comme cette version Metro d'Internet Explorer permet de naviguer sans plug-in, cette fonctionnalité de sécurité n'a que très peu d'incidence sur la compatibilité.

De nombreux modules complémentaires, notamment Adobe Flash et certaines barres d'outils, ne sont pas encore compatibles avec le mode protégé amélioré. Certains sites Web nécessitent toujours Adobe Flash et certains utilisateurs apprécient les fonctionnalités offertes par les barres d'outils. Dans Windows 8 Beta, le mode protégé amélioré peut être activé sur le Bureau dans le menu Options Internet->Avancé :

Capture d'écran de l'onglet Avancé de la boîte de dialogue Options Internet, qui contient la nouvelle option « Activer le mode protégé amélioré ».

Une fois que vous avez activé le mode protégé amélioré, les modules complémentaires incompatibles sont automatiquement désactivés. Si vous visitez un site nécessitant un module complémentaire tel que Flash, vous pouvez désactiver le mode protégé amélioré uniquement pour ce site.

Message de notification : « Cette page Web souhaite exécuter 'Adobe Flash Player 10.3 d162'. Si vous faites confiance à ce site, vous pouvez désactiver le mode protégé amélioré pour ce site afin d'exécuter le contrôle. » La barre de notification contient un bouton « Désactiver ».

Vous pouvez ainsi continuer à utiliser le site et garder le mode protégé amélioré activé pour les autres sites Web. N'oubliez pas que vous ne devez désactiver le mode protégé amélioré que si vous connaissez le site Web et qu'il est digne de confiance.

Bien évidemment, si vous préférez naviguer sans module complémentaire, vous pouvez à tout moment activer le filtrage ActiveX, qui vous empêche de voir ce message de confirmation.

Résumé

L'équipe Windows travaille en permanence sur la notion de défense en profondeur. Ce principe est largement adopté en dehors de l'univers informatique. Les coffres de dépôt des banques sont verrouillés par des cadenas. Cependant, ils sont aussi installés dans une pièce elle-même verrouillée et, dans le cas d'une banque, équipée d'un système de sécurité sophistiqué. Le mode protégé amélioré constitue un niveau de protection supplémentaire, qui contribue à protéger vos données face aux personnes malveillantes.

—Andy Zeigler, chef de projet senior, Internet Explorer

  • Loading...