En juillet 2011, l’ENISA (European Network and Information Security Agency) dévoilait un rapport sans concession ni pincettes sur la sécurité des prochains standards du web (a security analysis of next generation web standards). Aucun standard n’est épargné.
Le top des failles et des attaques change peu depuis quelques années : injection de code, cross site scripting, gestion défaillance des authentifications, référence non sécurisée, tunnel pour les données mal sécurisé, restriction accès URL mauvaise, fausses forms, attaque par DDOS, botnet, webstorage mal faits, etc. Il faut impérativement se méfier de la multiplication des fonctions et des API, car si cela apporte de nouvelles possibilités d’interface et fonctionnelles, elle entraîne de facto une surface d’attaque plus grande. HTML 5 n’échappe aucunement à cette dangereuse situation, et curieusement, le sujet est rarement abordé. Nous tirons aujourd’hui la sonnette d’alarme pour que tout le monde prenne conscience du problème. Que dire de la multiplication de code JavaScript ou des couches d’interface ?
François Tonic