Ne synchronisez pas le navigateur au travail

Beaucoup d’entreprises séparent les informations personnelles et professionnelles. Pourtant, elles oublient souvent la synchronisation du navigateur, et les cybercriminels s’en servent déjà.

Le stockage des informations professionnelles et personnelles, des comptes et des fichiers sur un dispositif à part est un des conseils les plus courants (et efficaces) en sécurité informatique. De nombreuses entreprises obligent leurs employés à le faire. La suite logique de cette politique serait l’interdiction de partager les données entre les ordinateurs professionnels et personnels en utilisant certaines services, comme Dropbox, et l’interdiction d’utiliser l’adresse e-mail professionnelle pour créer des comptes personnels (notamment pour les boutiques en ligne). Les utilisateurs et les administrateurs oublient généralement un autre endroit où les données professionnelles et personnelles sont en contact : les paramètres du navigateur Web.

La demande d’activation de la synchronisation du navigateur Chrome à l’aide d’un compte Google apparaît dès le premier jour et, en réalité, Chrome l’active souvent automatiquement après que l’utilisateur s’est connecté à Gmail ou Google Docs. La synchronisation est moins envahissante avec Firefox et Edge mais elle existe et est proposée. À première vue, on pourrait croire que la synchronisation des favoris est pratique et sans risque, mais les cybercriminels voient les choses différemment.

Quels sont les risques si vous synchronisez les navigateurs

Tout d’abord, votre profil Cloud contient beaucoup d’informations. En plus de la liste des favoris et des onglets ouverts, les navigateurs synchronisent aussi vos mots de passe et les extensions entre les ordinateurs. Ainsi, si les cybercriminels attaquent l’ordinateur personnel d’un employé, ils peuvent avoir accès à certains mots de passe professionnels. Ces attaques ne sont pas théoriques. C’est à cause de la synchronisation des mots de passe avec Google Chrome que le géant en sécurité de l’information Cisco a été en danger, alors que des extensions malveillantes qui se présentaient comme des outils de sécurité ont été utilisées pour voler les jetons d’accès OAuth.

Ensuite, les extensions malveillantes peuvent être utilisées pour extraire les données d’un ordinateur infecté. Dès que le navigateur Chrome communique avec l’infrastructure légitime de Google, une attaque peut être lancée pendent un certain temps sans alerter le système de défense du réseau.

Comment protéger votre ordinateur professionnel contre la synchronisation du navigateur

Les administrateurs système doivent prendre des mesures pour lutter efficacement contre la menace que la synchronisation du navigateur représente :

  • Utilisez des navigateurs compatibles avec les paramètres de politique de sécurité centralisée, comme Google ou Firefox.
  • En termes de politique de sécurité, désactivez la synchronisation du profil.
  • Toujours dans le cadre de votre politique, interdisez la sauvegarde des mots de passe dans le navigateur (un gestionnaire de mots de passe spécialisé est préférable).
  • Le cas échéant, limitez le nombre d’extensions du navigateur qui peuvent être installées et proposez une liste des extensions fiables, ou interdisez-les toutes.

Enfin et surtout, formez bien vos employés en amont. Expliquez-leur pourquoi ils ne doivent utiliser que les navigateurs pour entreprise et pourquoi ils ne doivent pas sauvegarder les mots de passe dans le navigateur et synchroniser les favoris avec le navigateur de leur ordinateur personnel. Laissez-leur une période d’adaptation puis adoptez de nouvelles politiques. Si une entreprise ne peut pas utiliser les navigateurs spécialement conçus pour les entreprises, la formation des employés reste le seul moyen de protection.

Conseils