Le Guide des Zones de Sécurité Internet Explorer

Vous avez sans aucun doute entendu le conseil selon lequel lorsque vous surfez sur des sites Web inconnus, vous ne devez pas laisser ActiveX ou Java s’exécuter dans votre navigateur. Cependant, pour tenir compte de ces conseils, de nombreux administrateurs ont besoin d’une explication approfondie de la façon de définir les propriétés du navigateur. Microsoft Internet Explorer (IE) 4.0 et IE 5.0, qui contrôle les fonctionnalités telles que ActiveX et Java operation, ont quatre zones de sécurité que vous devez configurer pour une sécurité maximale.

Qu’est-ce qu’une Zone de sécurité ?
Microsoft a introduit le concept de zones de sécurité lorsque la société a publié IE 4.0. Vous pouvez considérer les zones de sécurité comme des limites invisibles qui empêchent certaines applications Web d’effectuer des actions non autorisées avec un navigateur Web. Pour contrôler la sécurité Web, vous pouvez ajouter et supprimer des sites d’une zone, en fonction des fonctionnalités que vous souhaitez fournir aux utilisateurs d’un site particulier. Pendant le fonctionnement du navigateur, le navigateur vérifie chaque site auquel vous accédez pour son appartenance à la zone de sécurité. Si l’adresse d’un site appartient à l’une des zones, le navigateur applique les autorisations de sécurité de cette zone à toutes les interactions avec ce site. De cette manière, les zones de sécurité offrent une méthode de regroupement des sites par classifications de sécurité.

IE 5.0 a quatre classifications de zone de base: Internet, intranet local, Sites de confiance et Sites restreints. Pour accéder à ces zones dans IE, sélectionnez Outils, Options Internet, puis sélectionnez l’onglet Sécurité. Microsoft Outlook 2000 et Outlook 98 utilisent également les zones de sécurité Internet et des sites restreints. Pour plus d’informations sur la configuration des zones de sécurité dans Outlook 2000 et Outlook 98, consultez la barre latérale ” Zones de sécurité Outlook.”

Sur l’onglet Sécurité, que l’écran 1 affiche, vous pouvez voir les quatre classifications de zones répertoriées en haut, avec une icône représentant chaque classification. La zone Internet est une zone d’accroche pour les sites Internet qu’une autre zone ne classe pas déjà. Par défaut, chaque site que vous visitez qui n’est pas membre d’une autre zone hérite des autorisations de sécurité définies par la zone Internet. La zone intranet locale représente tous les sites de votre environnement LAN. Idéalement, vous considéreriez cette zone comme la zone la plus fiable, donc cette zone fournit la fonctionnalité la plus large des fonctionnalités du navigateur. La zone des sites de confiance sert de zone d’exception à la zone Internet ; les sites de confiance répertoriés dans la zone des sites de confiance recevront une large fonctionnalité de navigateur, et les sites inconnus resteront dans la zone Internet. La zone des sites restreints peut apaiser même l’attitude la plus paranoïaque car cette zone fournit les moyens de restreindre sévèrement l’interaction entre un serveur et le navigateur Web. Vous devez placer tous les sites sur lesquels vous avez des soupçons dans cette zone.

L’onglet Sécurité comporte également un curseur intitulé Niveau de sécurité pour cette zone. Le curseur a quatre niveaux de sécurité: Haut, Moyen, Moyen-bas et Bas. Pour ajuster automatiquement le niveau de sécurité d’une zone donnée, vous sélectionnez l’icône de zone appropriée, puis déplacez le curseur.

Pour configurer manuellement les zones de sécurité, vous pouvez utiliser les boutons Sites, Niveau personnalisé et Niveau par défaut de l’onglet Sécurité de la boîte de dialogue Options Internet. Chaque zone dispose d’une couche de contrôle de sécurité commune à laquelle vous accédez à l’aide des trois boutons. Chaque bouton fournit une longue liste d’options que vous pouvez configurer pour chaque zone. Pour ajuster manuellement les propriétés de sécurité d’une zone, sélectionnez une icône de zone et sélectionnez un bouton. Vous utilisez le bouton Sites pour ajouter et supprimer un site d’une zone. Lorsque vous sélectionnez la zone Internet, le bouton Sites devient indisponible. Étant donné que la zone Internet est la zone d’accroche pour les sites qui ne sont pas membres d’autres zones, vous n’avez pas besoin d’ajouter ou de supprimer des sites de cette zone. Le bouton Niveau personnalisé affiche la boîte de dialogue Paramètres de sécurité, dans laquelle vous pouvez consulter et configurer tous les paramètres de sécurité disponibles, comme le montre l’écran 2. Chacune des quatre zones de sécurité comporte un ensemble de paramètres de sécurité disponibles dans toutes les autres zones. Par conséquent, vous ne devez apprendre qu’un seul ensemble de définitions de paramètres. Pour plus d’informations sur les paramètres de sécurité personnalisés, consultez la barre latérale ” Options de sécurité.”Le bouton Niveau par défaut réinitialise simplement les paramètres de sécurité de la zone sélectionnée aux paramètres par défaut.

Configuration des zones de sécurité
La plupart des gens veulent surfer sur des sites Internet potentiellement dangereux sans subir d’intrusion ou d’endommagement de leur ordinateur local. Pour ce faire, vous devez empêcher certaines actions (telles que les opérations Java) d’avoir lieu dans le navigateur. Lors de la configuration des paramètres de sécurité, veillez à respecter la politique de votre entreprise concernant le contenu Web. Si la politique de sécurité de votre entreprise interdit l’utilisation de Java à partir de sources inconnues, n’activez pas Java et désactivez complètement Java.

Vous pouvez configurer les paramètres de zone de sécurité dans IE automatiquement ou manuellement. Pour effectuer une configuration de sécurité automatique, sélectionnez la zone appropriée, puis déplacez le curseur de niveau de sécurité au niveau approprié. Lorsque vous déplacez le curseur, IE effectue des ajustements automatiques des paramètres en coulisses. Pour afficher les paramètres de sécurité du curseur, vous pouvez sélectionner le bouton Niveau personnalisé, qui présente la boîte de dialogue Paramètres de sécurité avec les paramètres et paramètres actuels.

Pour régler manuellement les paramètres, vous pouvez sélectionner les boutons radio Désactiver, Activer ou Demander dans la boîte de dialogue Paramètres de sécurité. La sélection Désactiver désactive une fonctionnalité, la sélection Activer active une fonctionnalité et la sélection Invite active une fonctionnalité mais indique au navigateur d’inviter l’utilisateur avant d’autoriser une action.

Je configure habituellement mon navigateur IE avec la zone Internet et j’ai l’invite du navigateur pour la plupart des types de fonctionnalités pour fournir une sécurité élevée. De cette façon, je peux simplement choisir Oui ou Non d’utiliser des fonctionnalités spécifiques du site après que le navigateur m’a averti des risques de sécurité. Si je visite un site Web qui utilise un contrôle ActiveX (comme une barre de navigation) et que mes propriétés ActiveX sont toutes définies sur Invite, une boîte de dialogue apparaît et me demande si je veux laisser l’objet ActiveX s’exécuter dans mon navigateur.

L’avantage de l’utilisation du paramètre d’invite est que vous n’avez pas besoin de revenir en arrière et de reconfigurer vos paramètres de sécurité pour utiliser les fonctionnalités étendues du site — il vous suffit de répondre à l’invite qui apparaît dans la fenêtre. L’inconvénient de ce paramètre est que vous pourriez vous retrouver à répondre à un nombre indiscipliné d’invites lors de la navigation sur un site donné, ce qui peut rapidement devenir ennuyeux. Mais j’ai un état d’esprit paranoïaque, donc je trouve les invites moins ennuyeuses que je ne trouverais un intrus. Vous trouverez peut-être plus raisonnable de désactiver les fonctionnalités indésirables. Ensuite, vous ajoutez simplement des sites à votre zone de sites de confiance pour retrouver les fonctionnalités étendues qu’un site offre.

Le moyen le plus simple et le plus rapide de configurer IE pour une sécurité renforcée dans la zone Internet consiste à sélectionner le niveau par défaut, qui réinitialise tous les paramètres au paramètre par défaut et rediffuse le curseur de niveau de sécurité (qui disparaît lorsque vous choisissez le niveau personnalisé). Ensuite, déplacez le curseur de niveau de sécurité jusqu’au réglage Haut. Le niveau de sécurité élevé ajuste automatiquement tous les paramètres nécessaires à la zone Internet pour que votre navigateur reste sécurisé à environ 98% (un problème de sécurité non découvert peut toujours exister) lorsque vous surfez sur des sites inconnus.

Après avoir réglé le curseur sur Haute sécurité, vous pouvez sélectionner le bouton Niveau personnalisé pour vérifier les paramètres de sécurité ou sélectionner Appliquer pour que les paramètres prennent effet immédiatement. Si vous passez en revue les paramètres de sécurité, vous remarquerez que chaque élément, y compris les éléments ActiveX et Java, a désormais le paramètre d’invite sélectionné. Vous pouvez parcourir la liste et désactiver tous les éléments que vous savez que vous n’utiliserez pas, afin de ne pas recevoir continuellement d’invites lorsque vous naviguez sur des sites Web inconnus.

Si vous souhaitez configurer davantage la sécurité de votre navigateur Web, vous pouvez utiliser l’onglet Avancé de la boîte de dialogue Options Internet. Pour plus d’informations sur la configuration des options de sécurité avancées, consultez la barre latérale ” Paramètres de sécurité avancés.”

Maintenant, Vous savez
Les zones de sécurité dans IE peuvent sembler déroutantes au début, mais les zones sont faciles à configurer après avoir compris ce que chaque zone représente et la hiérarchie des propriétés configurables dans la zone. Vous devez effectuer des ajustements manuels aux navigateurs de votre réseau et être conscient de l’effet lors du choix des paramètres par défaut. Cela empêchera la plupart du contenu HTML malveillant basé sur le Web et par courrier électronique d’interagir avec votre ordinateur et rendra votre environnement réseau beaucoup plus sûr pour travailler