En charge de la sécurité des réseaux et de l'information au sein de l'Union européenne, l'ENISA vient de publier un rapport dans lequel elle liste 50 failles de sécurité touchant la nouvelle norme du W3C, l'HTML5. Les conclusions ont été transmises au groupe de travail, qui prévoit de finaliser le langage en 2014.

Le groupe de travail en charge du développement du standard HTML5 a encore du pain sur la planche. Dans un communiqué diffusé lundi, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) a identifié 50 failles de sécurité touchant la prochaine révision majeure du langage. Le rapport (.pdf) a été communiqué au W3C, l’organisme en charge de la standardisation des technologies web.

Ces menaces concernent en particulier :

  • L’accès non protégé aux informations sensibles ;
  • De nouvelles façons de déclencher des soumissions de formulaires pour les cyber-pirates ;
  • Des problèmes en termes de spécification et d’application des politiques de sécurité ;
  • De possibles décalages avec la gestion des autorisations des systèmes d’exploitation ;
  • Des fonctionnalités sous-spécifiées, pouvant mener à des mises en œuvres sujettes à erreurs ou conflictuelles ;
  • De nouvelles façons d’échapper à la protection et aux mécanismes de contrôle d’accès en utilisant le « click-jacking » ou « détournement de clic » (technique visant à pousser l’internaute à cliquer sur des liens ou boutons dangereux).

« Un grand nombre de ces spécifications vont atteindre un point de non-retour. Pour une fois, nous avons l’opportunité de réfléchir profondément à la question de la sécurité – avant que la norme ne soit gravée dans le marbre, au lieu d’essayer de recoller les morceaux après coup. Il s’agit d’une chance unique de développer l’approche de sécurité dès la conception » a commenté le co-rédacteur du rapport, Giles Hogben.

Une approche d’autant plus nécessaire que le navigateur et les technologies web sont plus que jamais dans notre quotidien. « Le navigateur web est aujourd’hui l’une des composantes les plus sensibles de notre infrastructure d’information en termes de sécurité – une cible de plus en plus lucrative pour les cyber-pirates » a analysé Udo Helmbrecht, directeur exécutif de l’ENISA.

Il suffit de voir l’éventail d’activités passant par un navigateur. Cela va du commerce électronique aux démarches administratives, en passant par les activités bancaires, le réseautage social, la santé et la géolocalisation. Sans parler de certains domaines, comme la gestion d’infrastructures critiques comme les réseaux d’énergie. « La quasi-totalité des activités imaginables ont aujourd’hui lieu au sein d’une fenêtre de navigateur » souligne l’ENISA.

Le document fourni par l’ENISA sera très précieux pour le groupe de travail, dans la mesure où le standard HTML5 doit être finalisé dans trois ans. Au cours de cette période, une série de tests sera effectuée afin de déceler les éventuels problèmes dans le langage. L’objectif, à terme, est d’atteindre un haut niveau d’interopérabilité entre les différentes plates-formes.

Partager sur les réseaux sociaux

Articles liés