ACTUALITES

Selon une étude du cabinet d'analyse YouGov, le web 2.0 présenterait des dangers sérieux pour la confidentialité des informations dans les entreprises. Ce sont surtout ses usages « sociaux » qui sont pointés du doigt. Après avoir analysé le comportement de mille utilisateurs, YouGov estime en effet que 42 % des employés âgés de 18 à 29 ans partagent des aspects de leur vie professionnelle sur des réseaux sociaux ou des blogs. Avec une telle pratique, les risques juridiques - diffamation, par exemple - se multiplient.

D'autre part, les nouvelles applications multimédia du web telles que YouTube et MySpace encouragent le surf illicite au bureau pour un quart des personnes interrogées. 40 % avouent se connecter plusieurs fois par jour à ces sites et estiment que cette pratique est parfaitement normale. Pourtant, une majorité des mille personnes interrogées affirme connaître la politique de leur entreprise à ce sujet. Malheureusement, les blogs et autres sites de partage représentent un danger réel, à la fois juridique et commercial. Un commentaire laissé sur un blog peut en effet avoir des conséquences plus fâcheuses qu'un simple e-mail car il est visible de tous.

D'un point de vue technique, une autre étude menée par le spécialiste de la sécurité Fortify Software conclut que certains mécanismes propres au web 2.0 permettent d'imaginer de nouvelles formes d'attaque. C'est notamment le cas de l'architecture d'échange AJAX (Asynchronous Javascript and XML). Baptisée "Javascript hijacking", cette nouvelle attaque tire parti de certaines lacunes de Javascript, notamment la façon dont Javascript échange des structures de données au format JSON avec le serveur pour lire des données sensibles sur un service distant. On se souvient par exemple d'un hacker ayant réussi à récupérer 56 000 comptes utilisateurs MySpace pour usurper leurs identités numériques et modifier leurs espaces personnels.

Selon Fortify, onze frameworks AJAX sur douze - dont ceux de Microsoft, Google et les célèbres Prototype, Script.aculo.us, Dojo, Moo.fx, jQuery, Yahoo! UI, Rico, et MochiKit - seraient sensibles à cette attaque. Mais, informés, ils devraient rapidement combler cette faille de sécurité.