Les navigateurs internet sont des logiciels programmés pour charger et afficher des pages internet. Bien que la sécurité soit très importante, ils acceptent que certains sites internet ne soient pas protégés. Cette responsabilité a été déplacée au niveau des applications web. Les serveurs doivent donc envoyer des informations supplémentaires, les en-têtes de sécurité, pour contraindre les navigateurs à protéger leurs sites web.
Le premier en-tête de sécurité est sorti en 2008, et il y en a une vingtaine aujourd’hui. Certains en-têtes ne sont pas standards : les navigateurs peuvent ne pas les supporter, ou ils risquent d’être supprimés plus tard. L’entreprise de cybersécurité, Snyk a un outil en ligne et gratuit, nommé Security headers, qui permet d’évaluer la sécurité des en-têtes d’un site internet. Six en-têtes sont importants.
X-Content-Type-Options évite de faire télécharger des exécutables à l’insu d’un site web. Un hacker pourrait contourner le téléchargement d’un fichier vers le serveur (upload), par exemple le téléchargement d’une photo de profil, en nommant le fichier avec un nom ingénieux afin que les navigateurs détectent son contenu comme un fichier à télécharger sur son ordinateur au lieu d’une image à afficher.
X-Frame-Options protège des attaques par clickjacking en n’autorisant pas l’intégration d’un site dans d’autres sites. Il est possible d’arriver sur un faux site, et de cliquer sur un bouton anodin. En réalité, il peut s’agir d’une action réalisée sur votre banque en ligne (non protégée), cachée en arrière-plan, pour effectuer un transfert de fonds à un escroc par exemple.
Referrer-Policy permet de contrôler les informations de provenance pendant la navigation du site. Lorsqu’on clique sur un lien, le Referrer peut contenir toute l’adresse de la page précédente, permettant au destinataire de savoir d’où vient le visiteur. Il y a un risque de véhiculer des informations sensibles à un autre site.
Permissions-Policy permet d’autoriser ou de refuser les fonctionnalités des navigateurs internet sur son site, à l’instar de la caméra, du microphone ou de la géolocalisation. Pour se protéger, il est recommandé de refuser plusieurs fonctionnalités.
Strict-Transport-Security force l’utilisation de HTTPS au lieu de HTTP dans le navigateur. Lorsqu’un utilisateur consulte un site en HTTP, une attaque de l’homme du milieu pourrait survenir grâce à un logiciel comme SSLStrip. Normalement, l’utilisateur aurait dû être redirigé en HTTPS. La communication se déclenche sécurisée (HTTPS) entre l’homme du milieu et le site web, mais elle est convertie en mode non sécurisé (HTTP) à la victime afin de dérober toutes les informations pendant la session.
Content-Security-Policy évite le cross-site scripting (XSS), une vulnérabilité par injection de code. Il permet d’autoriser les ressources à charger dans une page. Ça fonctionne comme une liste blanche. Par exemple, il est possible d’autoriser que des scripts importés à partir de son domaine. Alors un script externe ou inséré directement dans un commentaire par un utilisateur malveillant pourra être totalement ignoré.
