navigateur

Ne synchronisez pas le navigateur au travail

Beaucoup d’entreprises séparent les informations personnelles et professionnelles. Pourtant, elles oublient souvent la synchronisation du navigateur, et les cybercriminels s’en servent déjà.

Alexey Vovk
16 Mar 2023

Le stockage des informations professionnelles et personnelles, des comptes et des fichiers sur un dispositif à part est un des conseils les plus courants (et efficaces) en sécurité informatique. De nombreuses entreprises obligent leurs employés à le faire. La suite logique de cette politique serait l’interdiction de partager les données entre les ordinateurs professionnels et personnels en utilisant certaines services, comme Dropbox, et l’interdiction d’utiliser l’adresse e-mail professionnelle pour créer des comptes personnels (notamment pour les boutiques en ligne). Les utilisateurs et les administrateurs oublient généralement un autre endroit où les données professionnelles et personnelles sont en contact : les paramètres du navigateur Web.

La demande d’activation de la synchronisation du navigateur Chrome à l’aide d’un compte Google apparaît dès le premier jour et, en réalité, Chrome l’active souvent automatiquement après que l’utilisateur s’est connecté à Gmail ou Google Docs. La synchronisation est moins envahissante avec Firefox et Edge mais elle existe et est proposée. À première vue, on pourrait croire que la synchronisation des favoris est pratique et sans risque, mais les cybercriminels voient les choses différemment.

Quels sont les risques si vous synchronisez les navigateurs

Tout d’abord, votre profil Cloud contient beaucoup d’informations. En plus de la liste des favoris et des onglets ouverts, les navigateurs synchronisent aussi vos mots de passe et les extensions entre les ordinateurs. Ainsi, si les cybercriminels attaquent l’ordinateur personnel d’un employé, ils peuvent avoir accès à certains mots de passe professionnels. Ces attaques ne sont pas théoriques. C’est à cause de la synchronisation des mots de passe avec Google Chrome que le géant en sécurité de l’information Cisco a été en danger, alors que des extensions malveillantes qui se présentaient comme des outils de sécurité ont été utilisées pour voler les jetons d’accès OAuth.

Ensuite, les extensions malveillantes peuvent être utilisées pour extraire les données d’un ordinateur infecté. Dès que le navigateur Chrome communique avec l’infrastructure légitime de Google, une attaque peut être lancée pendent un certain temps sans alerter le système de défense du réseau.

Comment protéger votre ordinateur professionnel contre la synchronisation du navigateur

Les administrateurs système doivent prendre des mesures pour lutter efficacement contre la menace que la synchronisation du navigateur représente :

Utilisez des navigateurs compatibles avec les paramètres de politique de sécurité centralisée, comme Google ou Firefox.
En termes de politique de sécurité, désactivez la synchronisation du profil.
Toujours dans le cadre de votre politique, interdisez la sauvegarde des mots de passe dans le navigateur (un gestionnaire de mots de passe spécialisé est préférable).
Le cas échéant, limitez le nombre d’extensions du navigateur qui peuvent être installées et proposez une liste des extensions fiables, ou interdisez-les toutes.

Enfin et surtout, formez bien vos employés en amont. Expliquez-leur pourquoi ils ne doivent utiliser que les navigateurs pour entreprise et pourquoi ils ne doivent pas sauvegarder les mots de passe dans le navigateur et synchroniser les favoris avec le navigateur de leur ordinateur personnel. Laissez-leur une période d’adaptation puis adoptez de nouvelles politiques. Si une entreprise ne peut pas utiliser les navigateurs spécialement conçus pour les entreprises, la formation des employés reste le seul moyen de protection.

5 raisons de ne pas utiliser la version de bureau des services de messagerie instantanée

Nous vous expliquons pourquoi il vaut mieux ne pas utiliser la version de bureau des services de messagerie instantanée comme WhatsApp, Telegram, Signal et autres.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Ne synchronisez pas le navigateur au travail

Quels sont les risques si vous synchronisez les navigateurs

Comment protéger votre ordinateur professionnel contre la synchronisation du navigateur

Kaspersky Next : une nouvelle gamme de solutions de sécurité

Des distributions Linux infectées par un code malveillant

5 raisons de ne pas utiliser la version de bureau des services de messagerie instantanée

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky