S2ML : une norme pour sécuriser les transactions basées sur XML

A l'heure actuelle, les places de marché se présentent sous la forme d'environnements complexes où les transactions se réalisent à de multiples niveaux. Dans ce contexte, les technologies de sécurisation classiques rencontrent leurs limites, car l'identification de toutes les parties présentes au sein d'une chaîne logistique, par exemple, peut comprendre certains risques dans la mesure où chacune d'elles ne dispose pas des mêmes outils de sécurité en amont. De même, il devient difficile de définir une politique globale avec des acteurs dont la présence en ligne peut être sujette à fluctuation.
Dévoilée l'an dernier par son principal inventeur, l'éditeur américain Netegrity, la technologie S2ML a précisément pour objectif d'apporter un standard de sécurisation s'affranchissant des infrastructures propres à chaque partenaire d'une transaction. Avec la volonté de transmettre des données d'authentification et d'autorisation d'une application à une autre, cette nouvelle norme s'inscrit dans le cadre technique actuel d'échanges basés sur XML, et non plus sur un canal EDI propriétaire.

S2ML et AuthXML, vers un standard unique ?
Les autres éditeurs à avoir participé aux développements de S2ML sont VeriSign, Bowstreet, Commerce One, Jamcracker, Webmethods et Sun Microsystems. En parallèle, ATG, Oracle, PriceWaterhouseCoopers et Tibco ont également apporté leur expertise à Netegrity.
Depuis la rentrée de septembre 2000, la future norme S2ML commence à faire parler d'elle au sein du consortium OASIS (Organisation pour l'avancement des standards d'information structurée). Ce dernier a ainsi créé un comité baptisé "XML-based security services" qui s'est réuni pour la première fois le 9 janvier dernier. A l'issue de cette réunion, un projet de spécification en 43 pages correspondant à une version temporaire 0.8a de S2ML a été dévoilé par Netegrity.
Mais à l'heure actuelle, cette norme n'est pas la seule destinée à sécuriser les échanges en ligne s'appuyant sur XML. Un autre éditeur américain, Securant Technologies, a développé de son côté l'AuthXML, qui présente selon les analystes plus de similarités que de différences avec S2ML. Et c'est donc en constatant cette analogie que le consortium OASIS a décidé de créer son comité de sécurité technique. Selon lui, les deux standards auraient tout intérêt à converger malgré la position concurrente de Netegrity et Securant. En tout état de cause, même si les deux éditeurs arrivent à s'entendre et à rallier leurs partenaires à une cause commune, il y a fort à parier que le standard S2ML, ou son évolution convergente, ne verra pas le jour à l'intérieur d'applications commerciales avant au moins la fin de l'année 2001.
[François Morel, JDNet]