Mercredi 13 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Flux RSS : la sécurité en question

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz Lesnouvelles.net le 06/09/2005 - indexel.net
 

La sécurité du format RSS est encore loin de passionner les foules. Mais avec son introduction dans Windows Vista et Internet Explorer 7, cela risque fort de changer. Le point sur la sécurité de ce format, avec en prime un lien pour tester votre lecteur.

 

Le format RSS est bien connu des internautes avertis : il permet l'agrégation de contenus issus d'une multitude de sources d'information en une vue unique, généralement au sein d'un lecteur dédié ou directement en ligne grâce à une page web spécifique. Avec RSS, plus besoin de passer sur chaque site d'information pour voir si quelque chose a changé. Et plus besoin de supporter leurs mises en page diverses (et parfois de mauvais goût), les publicités et autres distractions : les nouvelles entrées apparaissent instantanément dans la liste du lecteur, au format texte, avec celles des autres sites surveillés. Elles y sont résumées et il suffit alors d'un clic pour les lire directement dans le lecteur ou dans le navigateur standard. Bref, le format RSS est l'outil de veille par excellence et ce n'est pas un hasard si de plus en plus en plus de sites d'actualités publient désormais leur contenu sous cette forme.

 

Un vecteur tentant pour la diffusion de parasites

 

Mais comme tout véhicule de l'information sur le web, RSS peut aussi être abusé. Car le format n'est finalement qu'un dialecte XML qui permet de pointer vers des contenus HTML traditionnels. Il "embarque" les descriptions de ces derniers et fournit généralement un lien vers le contenu lui-même sur le site de son éditeur. Ce format est tellement souple qu'il permet également d'inclure, avec la description au format HTML, de nombreux objets, et en premier lieu des scripts. Ce contenu est alors interprété dans le navigateur standard ou directement dans le lecteur. A y regarder de plus près, un lecteur RSS n'est donc finalement pas très différent d'un client e-mail qui reçoit un courrier au format HTML. Et quant on sait combien les clients e-mails ont pu être abusés par les pirates, on s'aperçoit vite que le potentiel d'exploitation de RSS n'est pas exagéré.

 

Aujourd'hui, bien sûr, le format n'est pas assez répandu pour vraiment tenter les auteurs de spyware et autres diffuseurs de parasites. Selon le cabinet d'analyses Jupiter Research, le format n'est encore utilisé que par 6 % des internautes américains. Mais la décision de Microsoft d'inclure RSS au coeur de Windows Vista et dans Internet Explorer 7 (à l'image de ce que Firefox ou Safari proposent déjà) viendra probablement augmenter largement ce chiffre. Et il pourra alors devenir un vecteur tentant pour la diffusion de parasites ! D'autant plus tentant, d'ailleurs, que les entreprises commencent déjà à s'y intéresser dans le cadre de flux privés. RSS est alors mis en oeuvre pour distribuer de l'information sur un extranet ou pour permettre à deux applications web d'échanger automatiquement des informations (à la façon des Web Services). Selon une étude de Jupiter Research parue cet été, 30 % des entreprises américaines qui génèrent plus de 50 millions de dollars de revenus ont déployé RSS, et 28 % de celles qui ne l'ont pas fait comptent s'y mettre l'an prochain. Bref, le format est là pour rester. Et les problèmes pourraient arriver. Ils ne concerneraient cependant pas tant le format lui-même que ses lecteurs...

 

L'industrie commence à prendre la mesure du problème

 

Car les attaques envisageables contre un lecteur RSS sont nombreuses : outre l'insertion de scripts ou d'objets, les bonnes vieilles attaques du type iframe ou par redirection peuvent fonctionner, ainsi que l'exécution de code dans les définitions de styles (en ligne ou liés) ou encore l'insertion de web bugs, ces images invisibles qui permettent d'en apprendre beaucoup sur le contexte dans lequel le contenu HTML a été lu. En bref, les lecteurs RSS d'aujourd'hui doivent faire face aux mêmes problèmes de sécurité que les web mails en leur temps. Et même si certains bloggers ont commencé à donner l'alerte dès 2003, beaucoup de lecteurs RSS ne sont pas encore sécurisés. Heureusement, l'industrie semble prendre la mesure du problème. Le sentiment dominant est que le monde des lecteurs RSS pourra bénéficier des connaissances acquises "à la dure" par les clients e-mails et se mettre rapidement à niveau. Microsoft s'apprête ainsi à discuter la sécurité de RSS lors de sa Professional Developers Conference à Los Angeles ce mois-ci. Verisign envisage de son côté de fournir des outils et des services pour assurer la sécurité des flux RSS, et l'éditeur Reactivity propose déjà une passerelle XML capable de contrôler les flux à ce format.

 

Pour de nombreux experts cependant, le risque principal ne viendra pas de la diffusion par RSS de contenus issus des producteurs eux-même. Si ces derniers sont de confiance, leurs flux devraient être sains. Le risque viendrait plutôt des services d'agrégation tiers qui permettent de générer un flux RSS à partir de sites web qui ne publient pas eux-même leurs informations à ce format. C'est par exemple le cas de certains quotidiens ou hebdomadaires encore frileux face au web : ils publient bien certains articles sur leur site, mais ils n'offrent aucun flux RSS. Un service d'agrégation tiers peut alors se charger d'extraire les informations au format HTML de leurs pages, les mettre en forme dans un fil RSS et y ajouter éventuellement n'importe quoi (publicité, adware...). Les internautes ne feront probablement pas la différence et penseront s'être abonnés au fil RSS d'un quotidien réputé. Voilà qui devrait motiver les fournisseurs de contenu qui n'ont encore rien compris au RSS à s'y pencher eux-mêmes... avant que quelqu'un ne le fasse à leur place !

 

Enfin, pour les utilisateurs d'un lecteur RSS (dédié ou en ligne), un flux spécial permet de tester sa vulnérabilité à de nombreuses attaques connues. N'hésitez pas à nous faire part de vos résultats. Avec suffisamment de réponses nous pourrons réaliser un comparatif informel et collaboratif des lecteurs RSS actuels. N'oubliez pas alors de préciser quel lecteur vous utilisez, sa version exacte et votre plate-forme (Windows, Mac, Linux, en ligne avec quel navigateur). Indiquez dans votre message uniquement les tests ratés par votre lecteur (apparition d'une fenêtre pop-up ou de l'image d'un point d'exclamation jaune). S'il y a suffisamment de matière, nous le publierons de manière permanente.

 

Plus d'informationsLe fil-test pour la sécurité des lecteurs RSS.

 

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages