|
|
| |
| Infrastructure/Chantiers |
| Microsoft
critiqué par le W3C sur le terrain de la sécurité |
| La cible de cette attaque ? Elle touche au dispositif de signature électronique mis en oeuvre au sein de l'application de gestion de formulaires InfoPath livrée avec Office 2003. (Mercredi 29 octobre
2003) |
 |
Livrée avec la nouvelle
édition d'Office (2003) lancée la semaine
dernière (voir l'interview),
InfoPath, solution de gestion de formulaires XML, se retrouve
depuis hier sous les feux de la critique. Les attaques
sont d'abord venues du W3C... avant de s'étendre
à l'ensemble de la communauté des développeurs
XML.
La cible de cette levée de boucliers ? Elle
touche au dispositif de signature électronique
mis en oeuvre dans l'application InfoPath. Une couche
qui pécherait par son manque de sécurité.
Un
processus de signature peu fiable ?
"Ce produit
est un environnement (visuel) de création et de manipulation
de formulaires de saisie au format XML. Il s'accompagne
d'une bibliothèque de modèles préétablis (bon de commande,
note de frais, etc.), détaille Olivier Lanilis,
chef de produit Office chez Microsoft France. En cas de
besoin, il s'intègre à l'environnement de travail collaboratif
de Microsoft (SharePoint) ainsi qu'à son serveur
d'intégration (Biztalk Server)."
Les
critiques en provenance du W3C sont d'abord venues de
John Boyer. Membre du consortium du même nom depuis
plusieurs années, il s'agit d'un chercheur spécialisé
dans les standards de formulaires XML. Au sein du W3C,
il fait justement partie du groupe de travail chargé de
suivre le projet de la spécifications XForms.
Aux dires de cet
expert, une signature générée au sein d'InfoPath pourrait
être aisément remplacée par une autre sans que
cela soit pour autant décelable par l'application... Ce
qui "rend cet outil difficilement exploitable dans
un contexte externe, pour gérer des relations interentreprises
par exemple", souligne John
Boyer (dixit VnuNet).
Une brique
de Workflow avant tout
Microsoft a reconnu ce défaut.
A l'occasion de ses différentes réactions
sur le sujet, la firme indique avoir conçu avant
tout "une application de Workflow interne, et non
un système de dématérialisation de procédures
opposables légalement." Il est vrai que ces
deux problématiques peuvent être considérées
de manière distincte.
|
|
|
|
|
|
|
| |
[