Journal du Net > Solutions > Sécurité >  Sécurité > Analyses > Securité et Web 2.0
Analyse
 
02/06/2007

Une sécurité 2.0 pour encadrer le Web 2.0 ?

Agrégation de contenu, services Web, multiplication des codes JavaScript, etc. Les technologies Web 2.0 accroissent les risques de sécurité. Mais les modes d'attaques des pirates ne sont pas nouveaux.
  Envoyer Imprimer  

 
En savoir plus
 
 
 

Editeurs de logiciels, consultants, responsables marketing ou de site Web n'en finissent pas de chanter les vertus de la dernière révolution du Web 2.0, quand bien même leurs définitions de ce que la notion recouvre sont dissemblables.

Véritable phénomène du Web ou simple réutilisation de concepts existants, il convient cependant, pour qu'il puisse être traité sous l'angle de la sécurité, d'en dessiner une silhouette. Car si le Web 2.0 introduit de nouveaux usages sur Internet, il ne serait pas non plus sans créer des risques, au point que certains experts parlent de sécurité 2.0.

"Le Web 2.0 désigne des utilisations nouvelles des technologies Internet centrées sur l'utilisateur en tant que consommateur et fournisseur de contenu et de services. Ces nouveaux usages ont été permis par : la banalisation de certaines technologies - Ajax, Web Services, flux RSS…-, et l'apparition de nouvelles, les solutions de client riche. C'est aussi la très forte réutilisation de contenus et de services d'un site à un autre. En anglais, il est question de mashup", définit Florent Mathé, responsable adjoint du département client riche et portail chez Dreamsoft.

"Par conséquent, la problématique de la sécurité applicative, c'est-à-dire de la manière dont est codée l'application Web est cruciale car sa mise en cause peut avoir des conséquences lourdes tant sur les données personnelles que sur le risque de transmission d'informations faussées à un grand nombre d'utilisateurs", complète le responsable veille sécurité du cabinet Lexsi, Thomas Gayet.

Des risques de sécurité déclinés en 3 volets

Pour les fournisseurs et utilisateurs de services dits 2.0, les risques peuvent se répartir en 3 catégories principales. D'abord juridique. Avec son fort penchant pour la personnalisation, le Web 2.0 implique l'enregistrement et le stockage de nombreuses données à caractère privé, voire parfois même confidentiel sur lesquelles l'utilisateur peut perdre la maitrise.

Pour le prestataire, il convient de se mettre en conformité avec des législations hétérogènes et plus ou moins restrictives selon les Etats. Ainsi, par exemple, les conditions de collecte et de stockage des logs sont différentes entre la France à l'Allemagne.

"Des failles peuvent être exploitées lors de tentative de Cross Site Scripting ou Cross Site Forgery"
(F.Mathé - Dreamsoft)

A cause du concept de réutilisation des services et d'agrégation de contenus, le Web 2.0 présente en outre un risque pour l'intégrité et la gouvernance des systèmes d'information. Difficile en effet de garantir la continuité de service lorsque celle-ci dépend de plusieurs acteurs indépendants et tous susceptibles de subir des défaillances.

"Agréger de l'information impose aussi de contrôler les flux de données, pour s'assurer notamment qu'ils ne véhiculent pas de fausses informations ou susceptibles de porter atteinte à l'image de l'entreprise. Cette fonction de contrôle est de plus en plus difficile à assurer, compte tenu de la croissance des flux d'informations agrégés", complète Florent Mathé.

Troisième niveau de sécurité : les failles applicatives introduites par l'utilisation de certaines technologies. C'est notamment le cas d'Ajax qui permet de déporter une partie de la logique de traitement vers le client. Par conséquent, les contrôles habituels réalisés au niveau du serveur sont eux aussi déportés au niveau du client, avec potentiellement la possibilité pour celui-ci de les contourner.

Plusieurs modes d'attaque

"Les attaques sont diverses et peuvent être conduites en tirant profit de vulnérabilités dans le code applicatif du site, comme notamment le Cross Site Scripting (CSS), l'injection de code SQL ou encore la possibilité de prédire les cookies pour voler la session d'un utilisateur et ainsi usurper une identité et ses droits associés", décrit Thomas Gayet.

"Autre problème, dans le développement Ajax, le fait d'exécuter sans contrôler des portions de script envoyées par le serveur à l'aide de méthodes JavaScript de type Eval, utilisée par exemple lorsqu'on veut passer un objet depuis le serveur d'applications vers le client. Typiquement, cela peut donner lieu à des failles de sécurité qui peuvent être exploitées lors de tentative de Cross Site Scripting, assez fréquentes, ou des attaques de type Cross Site Forgery", confirme Florent Mathé.

"La surface d'attaque qui devient plus importante"
(F.Mathé - Dreamsoft)

En quoi consiste une attaque en Cross Site Forgery ?

Imaginons un usager s'authentifiant sur sa banque en ligne. Ce processus engendre la création sur le poste d'un cookie de session. Parallèlement à la consultation de ses comptes, l'internaute ouvre dans un autre onglet du navigateur, la page d'un forum contenant du code malveillant. Celui-ci sera programmé pour récupérer les cookies de session. La page présente également un lien vers une autre ressource, avec un intitulé trompeur. Un clic de l'internaute permet de déclencher une action sur le site bancaire à son insu grâce à la détention du cookie de session.

Le Web 2.0 : une révolution attendue en matière d'attaque ?

"Il y a peu de nouveautés. Le Web 2.0 n'apporte pas de nouvelles attaques car les technologies qu'elles exploitent existaient déjà. En revanche, c'est la surface d'attaque qui devient plus importante du fait de cette utilisation généralisée du JavaScript et de la réutilisation des contenus et des services", commente l'expert de Dreamsoft.

 
En savoir plus
 
 
 

Ajax n'introduit donc pas concrètement de nouveaux risques. La menace provient avant tout de son utilisation croissante qui influe nécessairement sur l'exploitation de ces modes d'attaque et accroît la probabilité d'être victime. Il en va cependant autrement des technologies de client riche de type Flex ou Silverlight, bien moins mâtures.

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages