Navigation sécurisée dans Brave S’abonner
Le navigateur Brave utilise Google Safe Browsing pour protéger les utilisateurs contre les sites malveillants. C’est activé par défaut sur toutes les plateformes, mais peut être désactivé à tout moment via le menu des paramètres du navigateur.
La navigation sécurisée offre une protection dans trois domaines :
- Sites web : bloque les sites de hameçonnage ainsi que ceux hébergeant des logiciels malveillants ou des logiciels indésirables
- Téléchargements : bloque les logiciels dangereux, rares ou potentiellement indésirables (uniquement sur bureau)
- Extensions de navigateur : empêche le téléchargement d’extensions malveillantes, vulnérables ou enfreignant les politiques, et désactive celles déjà installées (uniquement sur bureau)
Google s’efforce de fournir les informations les plus précises et à jour concernant les ressources web non sécurisées. Cependant, Google ne peut garantir que ses informations sont exhaustives et exemptes d’erreurs : certains sites risqués peuvent ne pas être identifiés, et certains sites sûrs peuvent être identifiés par erreur.
Un système respectueux de la vie privée
La navigation sécurisée dans Brave présente les propriétés de confidentialité suivantes :
- Les URL ne sont jamais envoyés au serveur géré par Google.
- La grande majorité des visites de sites web ne génèrent pas de requêtes vers le serveur.
- Sur bureau, le navigateur ne se connecte pas directement au serveur ; au lieu de cela, il passe par un serveur proxy opéré par Brave afin que les serveurs de Google ne voient jamais vos adresses IP.
Au cœur de la navigation sécurisée se trouvent des listes de sites ou de fichiers dangereux. Plutôt que de soumettre des URL complètes à un serveur, le protocole est structuré de sorte que la majorité de ces vérifications sont effectuées localement à l’aide de listes téléchargées depuis le serveur de navigation sécurisée.
Lorsqu’un utilisateur visite un site web avec une URL de phishing.example/ :
- Le navigateur transformera l’URL en
bac52b0b455d4b0435379a9cb61d43cd54bcd0f17ff0a5477b2598373fd7b997en utilisant la fonction de hachage SHA-256. - Ensuite, il tronquera ce « hash » en
bac52b0bet le comparera avec sa copie locale des listes de navigation sécurisée. - Si ce préfixe de hachage est trouvé dans une liste (et uniquement dans ce cas-là), le navigateur demandera au serveur de navigation sécurisée la liste de tous les hachages complets commençant par ce préfixe (seul le préfixe est envoyé, pas le hachage complet).
- Enfin, le navigateur comparera le hachage de l’URL du site web avec les hachages complets qu’il vient de recevoir et affichera une page d’avertissement en cas de correspondance.
Les listes sont mises à jour environ toutes les 30 minutes, de manière aléatoire dans les cinq premières minutes suivant le démarrage du navigateur. Tous les utilisateurs reçoivent les mêmes listes. Les listes sont considérées comme valides pendant 45 minutes et sont automatiquement ignorées si elles n’ont pas été mises à jour après ce délai. Vous pouvez trouver ces listes, ainsi que leur statut et l’heure de la dernière mise à jour, à l’adresse brave://safe-browsing/#tab-db-manager.
Plus de détails techniques peuvent être trouvés sur le blog sécurité de Google concernant la navigation sécurisée basée sur le hachage, et dans la documentation publique pour les développeurs.
Protections spécifiques aux plateformes
Voici comment ces protections sont implémentées sur chaque plateforme.
Bureau
Dans tous les cas, Brave repose sur l’implémentation de la navigation sécurisée qui fait partie de Chromium pour fournir ces protections. Il utilise également les mêmes listes et services sous-jacents que Chrome.
Remarque : Les avertissements de navigation sécurisée sont actuellement désactivés dans les fenêtres de navigation privée avec Tor.
Sites web
La protection de navigation ressemble à ceci lorsqu’elle détecte un site d’hameçonnage :
Cet avertissement peut être contourné en cliquant sur Détails puis sur visiter ce site non sécurisé :
Cette fonctionnalité peut être testée en utilisant la section « Avertissements de page web » de la page de test officielle de Google.
Téléchargements
La protection des téléchargements ressemble à ceci lorsqu’elle détecte un fichier dangereux :
Cet avertissement peut être contourné depuis brave://downloads en cliquant sur Conserver le fichier dangereux :
En plus des vérifications basées sur l’URL décrites dans la section précédente, les fichiers téléchargés subissent une deuxième vérification une fois qu’ils sont entièrement téléchargés par le navigateur, mais avant qu’ils ne soient mis à disposition de l’utilisateur. Cette vérification consiste à envoyer des métadonnées sur le fichier téléchargé (mais pas le fichier lui-même) à un service de réputation d’application exploité par Google. Ce service retourne un verdict qui détermine quel avertissement (le cas échéant) sera affiché à l’utilisateur.
Alors que les implémentations de Chrome et Firefox de cette fonctionnalité envoient le nom de fichier, l’URL du fichier téléchargé et toutes les URL des pages qui y ont mené, Brave a fait un choix différent en matière de sécurité et de confidentialité et n’envoie aucune de ces informations au serveur. La principale information que le navigateur Brave envoie au serveur exploité par Google est le hachage du fichier. Cela ne révèle des informations que sur les fichiers que Google connaît déjà. Comme pour toutes les autres requêtes réseau de navigation sécurisée dans la version de bureau de Brave, ces appels sont envoyés via un proxy opéré par Brave pour masquer vos adresses IP.
Notez que seuls certains types de fichiers passent par la deuxième vérification et ont leurs métadonnées envoyées au serveur de réputation d’application. Cette détermination est spécifique à la plateforme et basée sur le risque associé à chaque type de fichier. Le composant File Type Policies indique au navigateur comment gérer les différents types de fichiers en fonction d’une liste mise à jour périodiquement par l’équipe de Chrome.
Cette fonctionnalité peut être testée en utilisant la section « Avertissements de téléchargement pour ordinateur de bureau » de la page de test officielle de Google.
Extensions du navigateur
Voici à quoi ressemble une extension bloquée :
Cette protection ne peut actuellement pas être contournée.
En plus des vérifications de protection des téléchargements décrites dans la section précédente, toute extension de navigateur que vous installez subit une vérification supplémentaire. Cette vérification finale consiste à vérifier l’ID de l’extension par rapport à une liste locale de préfixes d’ID d’extension. En cas de correspondance de préfixe, les ID complets des extensions pour ce préfixe sont demandés à un service de réputation exploité par Google. Ce service retourne un verdict pour chaque extension de la liste. Cela détermine quel avertissement (le cas échéant) sera affiché à l’utilisateur et si l’extension sera autorisée à s’exécuter ou non. Cette requête réseau est également proxifiée via un serveur de Brave.
La vérification de l’ID de l’extension a lieu lorsque l’extension est chargée. Cela se produit généralement immédiatement après son téléchargement et ensuite à chaque redémarrage du navigateur. Cela signifie qu’une extension installée qui est plus tard signalée comme malveillante par Google peut être désactivée par la suite.
Malheureusement, il n’y a actuellement aucun moyen simple de tester cette fonctionnalité. Veuillez consulter notre documentation wiki pour plus de détails.
Android
Sur Android, la navigation sécurisée offre la même protection des sites web que sur ordinateur, bien qu’avec une liste plus réduite de sites de hameçonnage. La liste plus réduite signifie que tous les sites de hameçonnage bloqués sur ordinateur ne seront pas bloqués sur Android.
Voici à quoi ressemble la protection de navigation sur Android lorsqu’un site de hameçonnage est détecté. Comme sur ordinateur, cet avertissement peut être contourné en cliquant sur Détails puis sur visiter ce site non sécurisé :
Contrairement au navigateur de bureau (qui télécharge et maintient ses propres listes), la version Android de Brave utilise un service fourni par le système d’exploitation. En particulier, elle utilise l’API Google Play SafetyNet et les listes sur l’appareil qui sont partagées entre toutes les applications effectuant des vérifications de navigation sécurisée. Les appareils Android sans les services Google Play ne peuvent actuellement pas activer la navigation sécurisée dans Brave.
La vérification d’une URL par rapport aux listes locales de navigation sécurisée suit les mêmes étapes que le navigateur de bureau, car l’API SafetyNet utilise également l’API de mise à jour de la navigation sécurisée. La seule différence est que toutes les demandes du service du système d’exploitation au serveur de navigation sécurisée (qu’elles proviennent ou non de l’application Brave) sont faites directement et ne passent pas par un proxy Brave. Cela signifie que votre adresse IP peut être vue (et enregistrée) par Google.
Cette fonctionnalité peut être testée en utilisant les sections « Avertissements de page web » ou « Avertissements iOS » de la page de test officielle de Google.
La protection contre le téléchargement n’est pas disponible sur les plateformes mobiles. Les appareils Android dépendent plutôt de Google Play Protect.
iOS
Voici à quoi ressemble la protection de navigation lorsqu’un site de hameçonnage est détecté. Cet avertissement peut être contourné en cliquant sur Afficher les Détails puis sur visiter ce site non sécurisé :
Comme pour Android, les protections de navigation sécurisée sur iOS sont fournies par un service du système d’exploitation via un paramètre WKWebView. De ce fait, toutes les demandes faites au serveur de navigation sécurisée sont initiées par le fournisseur du système d’exploitation et ne peuvent pas être relayées par Brave.
Les appareils Apple utilisent les services de navigation sécurisée de Google et Tencent selon leur région. Dans les versions récentes d’iOS, ces demandes seront relayées par Apple. Cela signifie que votre adresse IP peut être vue (et enregistrée) par Apple, Google ou Tencent.
Sur les appareils utilisant le service Google, cette fonctionnalité peut être testée en utilisant la section « Avertissements iOS » de la page de test officielle de Google.
Comparaison avec d’autres navigateurs
La protection des sites internet dans Brave pour ordinateurs ou Android est équivalente aux protections trouvées dans Firefox, Safari et Chrome. Notez que nous n’exposons pas le mode de protection renforcée que Google propose uniquement aux utilisateurs de Chrome (sur une base opt-in).
Brave sur iOS offre la même protection pour les sites web que Safari ou toute application basée sur WKWebView (comme Firefox) qui active cette option.
La protection des téléchargements dans Brave est plus limitée que celle de Chrome et Firefox. Ceci est dû au fait que nous n’envoyons aucune URL au serveur; ainsi, ces informations ne peuvent pas être utilisées pour déterminer le risque associé à un fichier donné. En pratique, cela signifie que Chrome et Firefox bloqueront plus de fichiers malveillants que Brave.
La protection des extensions de Brave est la même que celle de Chrome.
Ne pas utiliser la navigation sécurisée
Si vous préférez ne pas utiliser la navigation sécurisée, il vous suffit de visiter brave://settings/security dans votre navigateur de bureau pour changer vos paramètres à Pas de protection (non recommandé) :
Sur Android, ouvrez le menu des paramètres du navigateur et appuyez sur Boucliers Brave et confidentialité, puis réglez l’option Navigation sécurisée sur Pas de protection (non recommandé) :
Sur iOS, ouvrez le menu des paramètres du navigateur et appuyez sur Boucliers Brave et confidentialité, puis désactivez Bloquer les sites dangereux :