Google prévoit de mettre en place une fonctionnalité dans Chrome qui empêche le téléchargement de fichiers non sollicités par l’utilisateur. Certains sites web malveillants utilisent cette astuce pour infecter les PC avec des logiciels malveillants ou pour voler des mots de passe. Le navigateur offre déjà la possibilité de désactiver les téléchargements automatiques, ce que vous devriez faire pour plus de sécurité.
Cette tactique est appelée “download drive-by” : le navigateur télécharge un fichier sans qu’un utilisateur ne le demande et, dans certains cas, sans qu’il ne s’en aperçoive. Vous ouvrez un site web avec un élément iframe (c’est-à-dire un document HTML à l’intérieur de la page) et il active le téléchargement sans que vous ne cliquiez sur quoi que ce soit.
Yao Xiao, du projet Chromium, veut éviter cela. Il a publié les détails de cette fonction dans un document public de Google Docs intitulé “Preventing drive-by downloads in sandbox protected iframes”.
L’idée est de bloquer les téléchargements déclenchés sans interaction de l’utilisateur, soit en visitant un site web, soit en simulant des clics sur un lien. La fonction sera déclenchée si toutes les conditions suivantes sont remplies :
/adownload=””
/adownload=””
/adownload=””
/adownload=””
Chrome ne doit pas avertir l’utilisateur que le téléchargement a été bloqué ; il n’y aurait qu’un message d’erreur dans la console du développeur (qui apparaît en appuyant sur la touche F12). Xiao explique que cela ne concerne que 0,002% des chargements de pages, c’est-à-dire qu’il ne faut pas casser les sites web qui fonctionnent correctement aujourd’hui.
/adownload=””
Sommaire
Les téléchargements à la sauvette présentent des risques pour la sécurité
/adownload=””
Le téléchargement de drive-by peut constituer un risque pour la sécurité. Certains sites web affichent des publicités malveillantes qui téléchargent des fichiers infectés par des logiciels malveillants ? prétendant être une “mise à jour” du lecteur Adobe Flash, par exemple.
/adownload=””
En outre, Windows traite certains types de fichiers lorsque vous ouvrez le dossier dans lequel ils sont stockés. C’est le cas de l’extension .scf, par exemple, utilisée pour les fichiers de commande de l’Explorateur Windows ? et les sites web malveillants profitent de cette faille.
/adownload=””
En 2017, des chercheurs en sécurité de Defense Code ont découvert ce système. Les sites web malveillants téléchargent des fichiers .scf qui contiennent une adresse de serveur SMB, plutôt qu’un programme local. Il demande une authentification, et Windows envoie le mot de passe à votre ordinateur protégé par hachage (converti en un ensemble de lettres et de chiffres par un algorithme).
/adownload=””
Pour Windows 8 et 10, le mot de passe provient de votre compte Microsoft, utilisé dans Outlook.com, Skype, Xbox, entre autres services. Même protégé par le hachage, il peut être révélé à l’aide de listes de mots de passe ou d’attaques par force brute.
/adownload=””
Désactivation des téléchargements automatiques dans Chrome
/adownload=””
Il n’y a toujours pas de date limite pour la mise en œuvre par Chrome de la fonctionnalité qui empêche les téléchargements en mode “drive-by”… elle est toujours en cours de développement. Cependant, vous pouvez vous protéger dès maintenant en désactivant les téléchargements automatiques. Suivez ces étapes sous Windows, Mac ou Linux :
/adownload=””/adownload=””
/adownload=””
/adownload=””
/a