La sécurité des sites web 2.0 négligée ?
ven, 04/08/2006 - 01:58
Les experts en sécurité mettent en évidence les problèmes de sécurité des sites web 2.0. Certaines attaques de grande envergure ont déjà fait des dégâts, exploitant par exemple les vers Yamanner, Samy et Spaceflash. Yamanner ciblait Yahoo Mail, en récoltant les adresses électroniques et en s'auto-diffusant à tous les contacts figurant dans le carnet d'adresses Yahoo d'une victime. Les vers Samy et Spaceflash se sont quant à eux répandus sur MySpace, modifiant les profils de ce site de réseau social très populaire.
De nombreux sites web dit "2.0" utilisent la technique Ajax (Asynchronous JavaScript + XML). Lancée l'année dernière, Google Maps était parmi les premières applications web à présenter les avantages des techniques de développement Ajax à un vaste public, lui permettant d'utiliser sa souris pour se déplacer dans une image cartographique sur toute la surface de l'écran. La technologie Ajax ne se contente pas de rendre les sites et les pages web plus interactifs. Elle ouvre aussi de nombreuses possibilités aux hackers. Un site reposant sur ces nouvelles techniques de programmation dispose donc d'une plus grande «surface d'attaque», car il comporte beaucoup plus d'interactions avec le navigateur et peut exécuter du JavaScript sur le PC client. Ajax augmente également le risque de failles XSS (Cross Site Scripting), pouvant être induites par des erreurs dans le code des pages d'un site, expliquent les experts. Une personne malveillante pourrait exploiter cette vulnérabilité pour pirater des comptes utilisateur, lancer des attaques par phishing ou même télécharger du code malveillant sur les ordinateurs des victimes. De grands noms du web, tels que Microsoft, eBay, Yahoo et Google, ont tous recélé des failles XSS sur leurs sites.
La clé de la sécurité réside dans la formation et les bonnes pratiques des développeurs, explique Ryan Asleson, développeur et auteur de deux ouvrages consacrés à Ajax. Ryan Asleson ne pense pas, pour sa part, que les développeurs web négligent la sécurité, mais pour la plupart des autres experts, la responsabilité incombe aux développeurs de veiller à la sécurité des serveurs et des utilisateurs. Les internautes peuvent se protéger dans une certaine mesure en utilisant des logiciels de sécurité pour PC, comme un antivirus et un filtre contre l'escroquerie par courrier électronique, rappelle Billy Hoffman, de SPI Dynamics. Toutefois, ces logiciels sont généralement plus efficaces après l'apparition de premières attaques, car ils s'appuient sur leur signature ou sur des listes noires de sites malveillants connus.