L'ANSSI a publié le 28 Avril 2021 un nouveau guide portant sur la sécurité des sites web, intitulé Recommandations pour la mise en œuvre d'un site web: maîtriser les standards de sécurité côté navigateur.

Les recommandations de ce guide concernent la sécurité des contenus présentés par un navigateur web aux utilisateurs. Il existe de nombreux standards du Web qui concernent des mécanismes de sécurité activables par les serveurs web au niveau des navigateurs. En intégrant différents en-têtes (headers) au niveau de leur réponse, les serveurs vont en effet pouvoir demander aux navigateurs de leurs utilisateurs d'activer des mécanismes de protection divers afin de rendre la navigation plus sûre. En faisant le tour de ces différents mécanismes, un développeur ou un administrateur système peut donc protéger ses utilisateurs de certaines attaques, autrement qu'en intervenant directement sur le code source de l'application utilisée.

Il faut tout de même garder en tête que ces mécanismes de sécurité côté navigateur sont là pour limiter l'impact ou les possibilités d'exploitation d'une vulnérabilité, mais constituent rarement un correctif efficace à eux seuls. Ils doivent donc venir renforcer la sécurité d'une application web en utilisant tous les outils possibles au niveau du navigateur de l'utilisateur, et non se substituer à la sécurité de l'application web elle-même.

Dans ce guide est notamment rappelée la contrainte de Same Origin Policy (SOP) et son mécanisme de relâchement Cross Origin Resource Sharing (CORS). Le guide aborde ensuite certaines pratiques de protection contre le Cross Site Scripting (XSS) telles que SubResource Integrity (SRI), puis la communication inter-contextes en général, en détaillant notamment les standards Content Security Policy (CSP), Referrer-Policy, et les pratiques relatives au cloisonnement telles que le choix et le paramétrage des moyens de stockage côté client (ex. : cookies, Web Storage) et des moyens d’isolation des ressources actives (ex. : iframes, Web Workers).

Nous avons d'ailleurs publié très récemment sur IT-Connect un article sur le mécanisme du SRI : Contrôle d’intégrité des ressources web externes, mentionné dans ce guide.

Un dehors des mesures purement techniques, le chapitre 2. Menaces et types d'attaques est intéressant pour les gestionnaires de site web qui souhaitent mieux comprendre l'intérêt de s'occuper de la sécurité de leurs applications. Différents exemples de menaces et objectifs des attaquants y sont donnés (par exemple le vol de données ou l'interruption de service) ainsi que des exemples d'attaques concrètes (XSS, CSRF, SQLi, etc.), utiles pour mieux comprendre la suite du guide. Le chapitre 3. Rappel des règles d'hygiène  fait lui un rapide survol des principes de sécurité qui doivent être intégrés au niveau de l'application web elle-même.

Ce guide contient 63 recommandations qui couvrent un ensemble assez large de mesures, y sont également fournis des exemples de code HTML ou JavaScript permettant de mieux comprendre la mise en place de certaines mesures.

En complément de ce guide, je vous conseille d'étudier l'OWASP Testing Guide, qui vient lui détailler les bonnes pratiques de développement et d'audit d'une application web : OWASP Web Security Testing Guide

Si vous souhaitez consulter ce nouveau guide de l'ANSSI, c'est part ici : Recommandations pour la mise en œuvre d'un site web: maîtriser les standards de sécurité côté navigateur

Bonne lecture

The post Guide ANSSI : focus sur les mécanismes de sécurité des navigateurs first appeared on IT-Connect.