Actualités Emploi Start-up Avis d'expert Vidéos Indicateurs Distribution Telecharger Pro Livres blancs
01net Pro / Special DSI

Web 2.0 : ne pas négliger la sécurité

Applications Web 2.0, clients riches et espaces collaboratifs séduisent désormais aussi les entreprises. Mais leur mise en œuvre implique de nouveaux risques, tant techniques que juridiques.
Décision Informatique
le 13/07/2007 à 11h30
envoyer
par mail
imprimer
l'article
partager sur Viadeo
partager sur Facebook
partager sur LinkedIn
partager sur Scoopeo
partager sur Technorati
partager sur Digg
partager sur Delicious
partager sur Google
partager sur Myspace
partager sur Yahoo!

Les entreprises ont rapidement compris l'intérêt qu'elles pouvaient tirer des technologies dites du Web 2.0. Une meilleure ergonomie de leurs sites, de nouveaux canaux de diffusion de l'information ou la création de communautés collaboratives sont autant d'atouts pour les séduire. Si la compréhension technologique et pratique du Web 2.0 (lire DI n  722) est intégrée, ses implications en termes de sécurité demeurent encore floues. Les risques sont de deux ordres. Techniques, d'abord, avec l'apparition, sinon de nouvelles attaques, du moins de nouveaux vecteurs pour des attaques existantes. Une entreprise ouverte aux technologies du Web 2.0 augmente naturellement sa surface d'exposition, en mettant en avant, par exemple, de nouvelles ressources via des API web, en syndiquant des contenus RSS de sources inconnues, ou en exploitant automatiquement des flux XML de ses partenaires. Juridiques ensuite : le volet social du Web 2.0 implique la participation des internautes et le partage de contenus créés par eux. Or, quid du droit à la propriété sur ces contenus ? Et, plus dangereux encore, qui est responsable pénalement en cas d'abus sur une plate-forme collaborative ? “ Le Web 2.0 implique de bien préciser les responsabilités de chacun. Si une faute est commise, tout le débat judicaire portera sur le fait de savoir qui est responsable de quoi ? Or il faut être clair, si le juge n'est pas en mesure d'avoir une certitude quant à la responsabilité de tel ou tel, ce sont tous les acteurs impliqués qui pourront voir leur responsabilité retenue solidairement ”, met en garde Éric Barbry, avocat associé au cabinet Alain Bensoussan et responsable du pôle Sécurité des systèmes d'information.

Le risque juridique peut rapidement rejoindre l'imbroglio technique en cas de vol de l'identifiant d'un internaute pour commettre une infraction sur un site collaboratif, tel un wiki d'entreprise. Là aussi, il sera difficile de déterminer les responsabilités. L'entreprise a-t-elle mis en œuvre les moyens d'authentification technique suffisants afin de garantir la sécurité des identifiants et des mots de passe ? Bien peu aujourd'hui vont au-delà de la simple paire login-mot de passe fournie avec les outils de blogs et de wikis populaires. A-t-elle alors mis en œuvre des moyens de journalisation suffisants afin de tracer les connexions et les interventions de ses utilisateurs ? Là aussi, c'est d'autant moins certain qu'une véritable politique de journalisation est particulièrement contraignante.

Des technologies à risque

Mais les risques techniques inhérents au Web 2.0 touchent aussi, et surtout, ses technologies reines, en premier rang Ajax. “ Avec le Web 2.0 en général, et Ajax en particulier, il y a beaucoup de choses cachées qui se passent derrière le navigateur. L'utilisateur est obligé de faire une confiance aveugle à la technologie ”, explique Jean-Paul Ballerini, expert technologies et solutions pour IBM (ex ISS).

En s'appuyant sur des interactions JavaScript et XML cachées entre le navigateur et le serveur, Ajax est la couverture idéale des assauts pirates. Ces derniers s'appuient certes essentiellement sur des attaques JavaScript déjà connues, mais elles deviennent alors quasi impossibles à déceler pour l'internaute. En combinant cela avec le volet social du Web 2.0 (dépôt d'un code JavaScript malicieux sur une page d'un site communautaire populaire), il deviendrait possible de disséminer un code malicieux capable de générer en coulisses des requêtes invisibles sur le PC de l'utilisateur connecté par ailleurs à un autre service Web 2.0 (sa banque, par exemple). Une telle attaque concerne aussi bien le particulier que l'employé au sein de l'entreprise. “ L'un des risques essentiels des entreprises face au Web 2.0 est tout ce que peut ramener le collaborateurs sur le SI durant la pause, en surfant sur des sites Web 2.0 ”, confirme Jean-Paul Ballerini. Les technologies du Web 2.0, notamment Ajax mais aussi le RSS, facilitent ainsi grandement les attaques de cross-site scripting (infection via un site tiers).

Mais c'est loin d'être le seul risque. “ Le Web 2.0 permet d'automatiser les processus d'échanges entre partenaires ”, explique Gérald Bourtguize, responsable France d'IBM pour ISS.

Déni de services XML

Et ces automatisations peuvent exposer des pans entiers du SI restés jusqu'à présent inaccessibles. C'est le cas, par exemple, des services web, bâtis sur XML et échangeant des messages Soap. L'empoisonnement de ces messages peut provoquer des dénis de service en cascade, autant sur les serveurs que via Ajax sur les postes de travail qui les interrogent automatiquement. De même, des services web censés rester privés peuvent être découverts et publiés via leur description WSDL, souvent négligée par l'entreprise. Les solutions ne peuvent venir que de solutions de filtrage du trafic XML ou de l'analyse des flux (codes JavaScript malicieux) à la volée. Elles demeurent cependant minoritaires et parfois contraignantes. Et les entreprises ne s'en soucient guère.

agrandir la photo

Si vous êtes pressé

Après les internautes, ce sont les entreprises qui se laissent séduire par le Web 2.0. Certes, les promesses de nouveaux canaux de diffusion de l'information, de communautés collaboratives et d'ouverture aux partenaires sont attractives pour des entreprises avides d'exposition et cherchant à optimiser leurs échanges sur le réseau. Mais elles oublient que le Web 2.0 expose également des pans entiers de leur système d'information jusqu'à présent demeuré privé. Des API web aux flux RSS, des messages Soap consommés automatiquement aux services web révélés par WSDL, en passant par les risques juridiques liés aux contenus collaboratifs, le Web 2.0 ne peut faire l'impasse sur la sécurité.

Les vecteurs d'attaques Web 2.0

Ajax : en masquant les interactions entre le navigateur et le serveur, Ajax facilite la tâche des codes JavaScript malicieux.
XML : des attaques par déni de service peuvent être faites en manipulant des messages XML afin d'abuser d'un parser mal conçu.
WSDL : des services Web censés demeurer privés peuvent être listés par le protocole de découverte WSDL et exposer ainsi des données confidentielles.
RSS : Le format RSS permet d'embarquer du code JavaScript et le faire exécuter par les agrégateurs de contenus. RSS devient un nouveau vecteur d'attaques JavaScript.
Flash : Les lecteurs vidéo Flash sont très populaires sur les sites communautaires Web 2.0. La technologie permet aussi d'exécuter du code JavaScript sur le client ou d'appeler une image piégée depuis un site tiers.

Un risque juridique méconnu : Éric Barbry (cabinet Alain Bensoussan) : “ avec le Web 2.0, la sécurité repose sur l'utilisateur ”

Quel est le risque du Web 2.0 pour les entreprises ?

L'entreprise qui n'organise pas l'exploitation du Web 2.0 court au suicide. Avec le Web 2.0, la sécurité repose sur l'utilisateur, et si celui-ci n'est pas informé et responsabilisé, il fait n'importe quoi ! L'employeur est responsable de ce que font ses salariés. Il doit impérativement mettre en œuvre un contrôle de ce qu'ils font sur des sites collaboratifs, par exemple.

Quelles sont les solutions à ces risques juridiques ?

Il faut non seulement définir des règles d'usage, mais aussi – et surtout – des processus : qui informe la hiérarchie en cas d'abus ? Comment s'organise la modération des espaces collaboratifs ? Qui peut supprimer un contenu litigieux ? L'entreprise doit être consciente que le Web 2.0 demande plus de moyens, techniques et humains, afin d'assurer la sécurité.

Il faut filtrer JavaScript : William Kinfoussia (Inexware) : “ tout état inattendu est ignoré ”

Comment protégez-vous les applications Web 2.0 que vous développez ?

Au sein de nos propres développements, nous travaillons surtout au filtrage de JavaScript et à la détection des modifications que peut apporter le code JavaScript au système. Nous développons selon le principe d'une machine à états, et tout état inattendu est ignoré. Nous chiffrons les échanges entre les composants eux-mêmes.

Pourquoi ne pas utiliser des solutions commerciales tels les coupe-feu XML ou le filtrage des codes JavaScript ?

Nous ne cherchons pas utiliser ces outils car nous pensons que les technologies Web 2.0 sont encore trop jeunes et ne sont pas figées. Nous maîtrisons mieux nos développements spécifiques, et pouvons plus facilement les adapter aux évolutions de la technologie et à celles de nos clients.

publicité
à lire aussi
SUR LES MÊMES THÈMES
Visual Studio unifie le socle de développement de Microsoft
Microsoft balise le terrain autour de SOA
Parallélisme : des efforts en perspective
Urbaniser, c’est prévoir
Le navigateur se fait système d'exploitation
Quand le système de fichiers devient planétaire
Le navigateur se fait système d'exploitation
Software AG s'empare de webMethods
SoluCom acquiert Vistali
Bouygues bascule Windows sur mainframe
Le grand méli-mélo de la virtualisation d'applications
Les briques SOA se mettent en place
Ippon Technologies s'implante à Nantes
Un milliard pour développer le très haut débit
Les Français moins bavards au téléphone, mais plus accro aux SMS
Nokia signe l’arrêt de mort de la N-Gage
Free, seul candidat pour la quatrième licence mobile 3G (MAJ)
Free étoffe la compatibilité de sa Freebox HD
Free seul candidat à la quatrième licence 3G sur fond de contestation
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.