Compte-rendu de la conférence JSSI-2007

Date : 08 Juin 2007

La conférence JSSI-2007 ("Journée SSI" organisée par l'OSSIR), qui s'est déroulée à Paris le 22 mai 2007 était consacrée au sujet du "Web 2.0". Elle a réunie une centaine de participants. Les supports de présentation étant disponibles sur le site de la conférence (cité en fin d'article), nous ne donnons pas ici le détail des présentations et vous retraçons les éléments qui nous sont apparus les plus significatifs.

 

Le "Web 2.0" c'est quoi ? (présentation [1])

Le terme de "Web 2.0" est désormais très courant, mais ce concept n'est pas toujours très clair. Le "Web 2.0" désigne en fait les sites web qui sont conçus pour faire intervenir activement les visiteurs, et qui reposent sur leurs participations. Typiquement, mettre en place un serveur "web 2.0" c'est développer un site "vide", sur un sujet donné, en l'équipant de tous les outils permettant ensuite aux visiteurs d'y déposer et partager leurs contributions.

Par exemple "Wikipedia" (encyclopédie coopérative rédigée par les internautes) est un exemple typique d'un service "Web 2.0", alors que l'encyclopédie "Britannica Online" serait un service "Web 1.0" qui rend le même service (on désigne rétro-activement les sites conventionnels sous le terme de "Web 1.0") .

"Flickr" (site de partage d'images) "YouTube" (partage de vidéos), "MySpace", ou plus généralement tous les blogs sont des applications "Web 2.0"

Il s'agit donc en fait plus d'un "usage" du web que d'une nouvelle technologie en soit. Les outils sous jacents les plus fréquemment rencontrés sont ceux qui rendent facile la présentation des données (XML, CSS), agrémentent les présentations (support des contenus multi-média, animation FLASH) et permettent une forte interaction (JavaScript). Dans ce dernier domaine (interaction forte) la technologie AJAX est souvent rencontrée (elle permet la mise à jour dynamique et asynchrone des pages web) et est parfois considéré comme la technologie indispensable au "Web 2.0".

 

La sécurité du Web 2.0

D'un point de vue technologique, le "Web 2.0" n'introduit pas vraiment de nouvelle vulnérabilité. Les sites "Web 2.0" sont donc sujets aux mêmes attaques que celles que l'on connaît pour les sites web traditionnels; par exemple l'injection de code ou de données au travers de techniques telles que le XML "poisoning", les "XSS" (Cross-Site Scripting), le "CSRF" (Cross Site Request Forgering), etc. (présentation [7])

Eventuellement ces failles de type XSS ou CSRF pourra par contre avoir des conséquences plus graves dans un site AJAX que sur un site traditionnel (présentation [4]). En effet, un site AJAX est souvent organisé autour d'un petit nombre de pages web dont le contenu évolue sans que la page ne change, et chaque page reste donc affiché longtemps (plus longtemps que sur un site traditionnel qui utilise une navigation de page en page). Si une page AJAX est infectée, l'infection dure alors plus longtemps, ce qui permet à l'attaquant d'effectuer des actions plus élaborées.

Il a été noté enfin que certains environnements de développement "Web 2.0" (présentation [4]) pouvaient induire des vulnérabilités spécifiques. L'exemple mentionné au cours de la présentation est le cas du "framework" GWT qui génère un code JavaScript non sûr.


En fait la véritable évolution (et révolution) du risque avec le Web 2.0 c'est le fait que cette technologie implique une participation active de l'utilisateur (présentation [1]). Les problèmes soulevés sont alors de type :

  • la responsabilité des contenus (qui est responsable du contenu posté dans un espace coopératif, comment contrôler la légalité des contenus publiés),
  • le vol d'identité et l'atteinte à la réputation (quelqu'un contribue en se faisant passer pour un autre),
  • la manipulation de l'information.

Il s'agit donc là plus d'attaques  techniques (informatiques) mais d'attaques visant l'individu à travers de l'outil "Web 2.0". Cet aspect est prédominant (et prend sa réelle dimension) avec le "Web 2.0", parce que le "Web 2.0" repose sur l'implication de l'individu.

 

Aspects juridiques du Web 2.0 (présentation [2])

Des cas d'affaires judiciaires liées au Web 2.0 existent déjà, et ils devraient se multiplier dans les années à venir. En effet, l'internet "Web 2.0" a permis le développement d'entreprises légales génératrices de profits (par exemple des sites de ventes aux enchères, des sites de rencontres et de partages, etc...) et en cas d'escroquerie, l'utilisateur victime sera de plus en plus tenté d'entreprendre des démarches judiciaires vers ces entreprises pour obtenir réparation du préjudice subit. Toute la question est alors de savoir si le fournisseur d'un service "Web 2.0" est responsable de l'agissement des utilisateurs de ce service.

L'examen juridique montre que cette problématique soulève beaucoup de questions et qu'il n'y a pas de réponse légale claire.

Face à ce flou, une des solutions est l'auto-régulation : il est indispensable que les applications "Web 2.0" définissent clairement les règles d'usage pour les services mis en place. Définir les règles d'usage, informer l'utilisateur sur ces règles, et obtenir leurs adhésions semblent aujourd'hui la meilleure garantie pour éviter que les limites actuelles du droit (pénal ou civil) se retourne contre le fournisseur d'un service Web 2.0.

 

Web 2.0 et l'entreprise (présentation [3])

L'offre "Web 2.0" est devenue omni présente pour le grand public. Mais qu'en est-il dans le monde de l'industrie ?

Le "Web 2.0" est aujourd'hui de plus en plus adopté comme un outil de communication vers le grand public, ou vers les clients des entreprises. Par exemple les "blogs" sont aujourd'hui un outils de marketing à part entière.

Par contre, pour ce qui est d'offrir ces mêmes outils aux salariés de l'entreprise, la réponse est plus contrastée.

Certaines entreprises ont fait le choix d'encourager leurs salariés à participer (en tant que salarié) au "Web 2.0". Microsoft est un exemple d'une telle initiative, puisque Microsoft encourage ses salariés à mettre en place des blogs sur leurs domaines d'expertises. Si cette démarche peut être productive pour l'entreprise en terme d'image de savoir faire, elle peut aussi avoir des effets dévastateurs (par exemple dans le cas d'une fuite accidentelle d'information sur le retard dans la sortie d'un produit). D'autres entreprises interdisent formellement à ses salariés ce type de démarche (par exemple "Google").

Il y a eu également plusieurs témoignages d'entreprises qui ont des démarches pour mettre en place en interne des outils "Web 2.0" (par exemple un "système documentaire collaboratif", ou une "messagerie instantanée"). De façon globale, ces initiatives se font de façon très progressives et contrôlée, pour trouver un équilibre entre la dynamique qu'elles créent dans l'entreprise et les risques évoqués ci-dessus (par exemple le risque lié à la responsabilité sur les contenus).

 

 

Web 2.0 et les infrastructures réseaux des opérateurs Internet (présentation [5])

Le dernier aspect abordé lors de la JSSI 2007 était celui de l'impact du "Web 2.0" sur les infrastructures Internet.

Il s'avère que comme "Web 2.0" est une évolution qui concerne le contenu des sites web, cela n'a pas d'impact sur le transport (et donc sur les infrastructures de transport). De façon plus anecdotique, le "Web 2.0" peut parfois entrainer des pics de flux vers des sites qui n'étaient pas dimensionnés pour cela (phénomène quelquefois appelé "l'effet Slashdot", où un site très réputé comme "www.slashdot.org", où plusieurs autres blogs, se mettent à parler d'un site Internet très intéressant, provoquant une soudaine explosion du nombre de visiteurs pour ce site).

En fait, plutôt que le "Web 2.0", c'est la migration vers les réseaux NGN (Next Generation Network) qui sont aujourd'hui la préoccupation des opérateurs, et la présentation JSSI c'est donc axeé sur cet aspect. Dans la mesure où cela dépasse le sujet de notre article, nous vous invitons à consulter cette présentation sur le site de la JSSI pour avoir une vue plus détaillée sur les problèmes de sécurité potentiels des réseaux NGN.

 

 

Pour plus d'information :

 

 

 

Précedent Précedent Suivant Suivant Imprimer Imprimer