Université Abdelmalek Essaâdi / Ecole Normale Supérieure – Tétouan

Département d’Informatique / DUT 2° ANNEE IPE/IG

TP3_15 extensions de sécurité pour Firefox

.
Chiffrement, alertes de sécurité, définition de mots de passe,
protection contre le phishing, le pharming, le spam, ou
encore les keyloggers :
Souvent mis en valeur pour sa sécurité, Firefox peut se caparaçonner plus encore grâce à
l'ajout d'extensions utilisables directement depuis le navigateur. Disponibles depuis le site
de Mozilla, en français ou en anglais, elles s'intègrent aisément pour sécuriser la
navigation.

NoScript, Get jetable mail, SCM, PhishTank SiteChecker, Gmail S/MIME, KeyScrambler

Personal, SafeDownload, etc…

© Mozilla

_NoScript
NoScript permet de bloquer les
contenus exécutables de type,
Javascript, Java, Flash et autres
plugins possiblement malveillants.
Une alerte sonore est émise dès qu'un
blocage est effectué par l'application.
Cette sécurité préventive offre la
possibilité à l'internaute d'interdire par
défaut toute exécution de script, puis
de définir ensuite une liste blanche de
sites de confiance sur lesquels ils
seront autorisés.

Un clic gauche sur l''icône de

Bloquer les contenus exécutables des pages
NoScript fait apparaître un menu afin
de définir les différentes
permissions ou de bloquer
temporairement un site.

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011 Page 1
2_KeyScrambler
Personal
Dans sa version Personal,
KeyScrambler garantit une
protection contre les codes
malveillants de type keylogger,
qui enregistrent les frappes
clavier d'un utilisateur, lui
dérobant ainsi des données
confidentielles.

Ainsi, à chaque fois que

l'internaute sera amené à saisir
des informations dans un champ
d'authentification, l'extension
chiffrera les touches saisies afin
de les rendre inexploitables par
un pirate.

Une version Pro de

KeyScrambler, commercialisée
pour une vingtaine de dollars,
permet quant à elle de chiffrer
l'ensemble des frappes, et plus
Protection contre les codes de type keylogger seulement les données
d'authentification de type login,
mot de passe.

3_Gmail S/MIME
Cette extension offre la possibilité aux détenteurs
d'un compte de messagerie Gmail de Google
d'envoyer et recevoir des emails signés et
encryptés grâce au protocole de chiffrement
S/MIME (Secure Multipurpose Internet Mail
Extension). Une solution donc de profiter des
avantages d'un Webmail sans pour autant
renoncer à la sécurité.

Gmail S/MIME ne permet cependant pas de

chiffrer les messages comprenant une pièce jointe.
Il faudra pour cela attendre une prochaine version
de l'extension.
Envoyer et recevoir des emails signés
encryptés

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011 Page 2
4_JiWire Toolbar
JiWire est plus une barre
d'outils qu'une extension à
proprement parler. Toutefois,
l'application s'intègre au
navigateur et devrait répondre
aux attentes en matière de
sécurité des internautes
nomades.

Une option permet ainsi de

sécuriser sa connexion à une
borne publique. En outre, il est
possible, pour chaque borne de
contrôler des paramètres
importants (SSID, adresse Mac,
puissance du signal, etc.), dont le
Sécuriser ses connexions WiFi protocole de chiffrement utilisé
par le hotspot.

5_SafeDownload
Derrière de nombreux fichiers
téléchargeables sur Internet,
même sur des sites réputés sûrs,
peuvent se cacher des codes
malveillants.

SafeDownload permet, depuis le

navigateur, de scanner des
fichiers avec plusieurs moteurs
antivirus. Un fichier peut ainsi
être soumis à 4 antivirus
distincts.

Aucun risque de souffrir de son

inattention puisque l'application
peut être paramétrée afin que le
Scanner des fichiers avec plusieurs antivirus scan soit automatique à la fin de
chaque téléchargement.

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011 Page 3
6_ShowIP
Un doute sur l'authenticité du site
auquel vous êtes connecté ? Rien
de plus simple alors que de
vérifier son adresse IP et
surtout l'identité du site, dont
notamment son pays
d'hébergement, surtout s'il
apparait comme implanté en
Chine alors qu'il devrait être en
France.

Un clic droit sur l'IP en rouge,

en bas d'écran, donne accès à des
sites spécialisés dans la recherche
des adresses IP comme Netcraft,
dnsstuff whois, whois.sc. Ces
services vous communiqueront
Vérifier l'identité d'un site Web des données sur le site visité et
révèleront si ce dernier est bien
celui qu'il prétend être.

7_FoxTor
FoxTor est une extension
d'anonymisation pour les
utilisateurs soucieux du respect
de leur vie privée lors de leur
surf sur Internet. Elle permet en
effet à tout moment de passer en
mode anonyme et pour cela
d'utiliser le réseau crypté Tor.

L'utilisation de FoxTor nécessite

toutefois l'installation d'un
bundle comprenant Tor,
Privoxy et Vidalia. Vidalia
permet de contrôler Tor et
Privoxy est un proxy Web
Anonymisation et respect de la vie privée © incluant de nombreux filtres.
Mozilla.org

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011 Page 4
8_PhishTank SiteChecker
Cette extension vous informera
en temps réel d'une menace de
phishing durant votre navigation
sur Internet. Pour cela,
l'application interroge la liste
noire de sites frauduleux
enregistrés dans la base de
données du projet
communautaire PhishTank.

Tout utilisateur leurré par un

email de spam et invité à ouvrir
une page Web maquillée
référencée PhishTank ne pourrait
y accéder et serait
automatiquement alerté. Une
L'information temps réel sur le phishing petite icône en bas d'écran
indique le niveau de risque.

9_Get jetable mail

Pour se protéger contre le spam,
mieux vaut conserver privée le plus
possible son adresse de messagerie.
Certaines situations ou sites sur
Internet réclament cependant de
saisir un email valide.

Pour éviter de se voir spammé en

Un mail jetable pour éviter le spam
retour, Get jetable mail permet de
bénéficier durant une durée
paramétrable d'un mail valide
redirigeant ensuite les emails vers
son adresse réelle. Cette extension
automatise donc depuis Firefox la
création de comptes jetables. Pour
générer une adresse provisoire, un
clic droit dans le champ de saisi d'un
formulaire ouvre l'accès à un menu.

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011 Page 5
10_Magic Password
Generator
Cette extension est une solution
pour disposer de mots de passe
forts, qui ne soient pas toujours
les mêmes et ce, sans pour
autant endurer la contrainte de
tous devoir les mémoriser.

Comment ? Grâce à un master

password, stocké nulle part, et à
un processus de "hash". Ainsi,
pour chaque domaine Internet,
un nouveau mot de passe pourra
Générer des mots de passe forts sans contrainte
être défini à partir de ce master.

11_Site Continuity
Management
SCM est un addon dont la
fonction est d'assurer une
protection contre les attaques
de pharming. Le pharming - ou
DNS poisonning - exploite une
vulnérabilité des serveurs de
noms de domaine pour rediriger
le trafic Internet d'un site Web
vers un autre site de manière
transparente pour l'internaute.

SCM va ainsi enregistrer des

données sur les domaines
visités (adresse IP, pays
hébergeur, et alerter l'utilisateur
si lors d'une visite ultérieure,
celles-ci ont changé.

Lutter contre le pharming grâce à un suivi ©

Mozilla.org

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011 Page 6
12_Netcraft Toolbar
Diverses extensions existent pour
protéger du phishing. La solution
proposée par Netcraft présente
l'intérêt d'être relativement riche
fonctionnellement. Pour chaque
site visité, des paramètres
apparaissent en haut du
navigateur, dont notamment la
date de création du domaine,
son propriétaire, ainsi qu'une
jauge estimant le niveau de
risque.

La barre d'outils offre également

la possibilité à un internaute
rencontrant un site frauduleux, de
le signaler au service Netcraft
Une barre de protection contre le phishing afin que celui-ci enrichisse une
liste noire.

13_Infocon Monitor
Vous voulez pouvoir garder un
œil en permanence sur le niveau
de la menace sur Internet ?
Cette extension est la solution.
Basé sur les données du SANS
ISC, une association de sécurité,
le niveau de risque s'échelonne
en 4 paliers de vert à rouge.

Il est en outre possible d'être

prévenu par un signal visuel dès
qu'une information importante
est publiée, comme notamment
une alerte de sécurité critique.
Connaître le niveau d'alerte en temps réel

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011 Page 7
14_Password exporter
Cet addon ajoute dans Firefox la
possibilité d'exporter et
d'importer des mots de passe
enregistrés depuis différents
ordinateurs. Un moyen donc de
transporter ses accès sans avoir
systématiquement à les
mémoriser ou les noter…
L'import et l'export se font au
format XML. Toutefois, pour
d'évidentes raisons de sécurité, ce
fichier peut être chiffré.

Les fonctionnalités de Password

exporter sont accessibles depuis
les options de Firefox, dans
l'onglet sécurité, puis enfin dans
la rubrique Mot de passe où
L'import-export de mots de passe en 1 clic figure désormais un bouton
importer/exporter les mots de
passe.

15_Fire Encrypter
FireEncrypter s'adresse avant
tout aux passionnés de
cryptographie. Elle embarque
dans le navigateur des
fonctionnalités de chiffrement,
de décryptage et de hashage sur
du texte ou des fichiers.

Dans la boîte à outils figurent

ainsi de nombreux algorithmes,
dont : AES (Rijndael 128Bit),
Affine, Caesar, XOR, OTP (One
Time Pad), Vigenere, Rail Fence,
Morse Encoder, MD5 Hashing,
SHA1 Hashing, SHA256-384-
Le chiffrement facile avec Fire Encrypter 512.
http://www.journaldunet.com/

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011 Page 8