Technologies

RSS : la sécurité en question

Par Christophe Elise, le 06 sept 2005 à 11:15:00 - Dernière modification le 06 fév 2008.

Technologies

La sécurité du format RSS est encore loin de passionner les foules. Mais avec son introduction dans Windows Vista et Internet Explorer 7, cela risque fort de changer. Déjà, des voix s'élèvent pour mettre en garde contre une utilisation irréfléchie de ce format, et des attaques sont même expérimentées. A l'heure où les entreprises envisagent des flux RSS privés, à l'aube de voir RSS massivement utilisé sous Windows, voici le point sur la sécurité de ce format. Avec en prime un lien pour tester votre lecteur.

Le format RSS est bien connu des internautes avertis : il permet l'agrégation de contenus issus d'une multitude de sources d'information en une vue unique, généralement au sein d'un lecteur dédié ou directement en ligne grâce à une page web spécifique.
Avec RSS, plus besoin de passer sur chaque site d'information pour voir si quelque chose a changé, et plus besoin de supporter leurs mises en page diverses (et parfois de mauvais goût), les publicités et autres distractions : les nouvelles entrées apparaissent instantanément dans la liste du lecteur, au format texte, avec celles des autres sites surveillés. Elles y sont résumées et il suffit alors d'un clic pour les lire directement dans le lecteur ou dans le navigateur standard. Bref, le format RSS est l'outil de veille par excellence et ce n'est pas un hasard si de plus en plus en plus de sites d'actualité publient désormais leur contenu sous cette forme (y compris Les Nouvelles.net, bien sûr !)

Mais comme tout véhicule de l'information sur le web, RSS peut aussi être abusé. Car le format n'est finalement qu'un dialecte XML qui permet de pointer vers des contenus HTML traditionnels. Il "embarque" les descriptions de ces derniers et fournit généralement un lien vers le contenu lui-même sur le site de son éditeur. Ce format est tellement souple qu'il permet également d'inclure, avec la description au format HTML, de nombreux objets, et en premier lieu des scripts. Ce contenu est alors interprété dans le navigateur standard ou directement dans le lecteur.
A y regarder de plus près, un lecteur RSS n'est donc finalement pas très différent d'un client email qui reçoit un courrier au format HTML. Et quant on sait combien les clients emails ont pu être abusés par les pirates, on s'aperçoit vite que le potentiel d'exploitation de RSS n'est pas exagéré.
Aujourd'hui, bien sûr, le format n'est pas assez répandu pour vraiment tenter les auteurs de spyware et autres diffuseurs de parasites. Selon l'analyste Jupiter Research le format n'est encore utilisé que par 6% des internautes américains. Mais la décision de Microsoft d'inclure RSS au coeur de Windows Vista et dans Internet Explorer 7 (à l'image de ce que Firefox ou Safari proposent déjà) viendra probablement augmenter largement ce chiffre. Et il pourra alors devenir un vecteur tentant pour la diffusion de parasites !
D'autant plus tentant, d'ailleurs, que les entreprises commencent déjà à s'y intéresser dans le cadre de flux privés. RSS est alors mis en oeuvre pour distribuer de l'information sur un extranet ou pour permettre à deux applications web d'échanger automatiquement des informations (à la façon des Web Services). Selon une étude de Jupiter Research parue cet été, 30% des entreprises américaines qui génèrent plus de 50 millions de dollars de revenus ont déployé RSS, et 28% de celles qui ne l'ont pas fait comptent s'y mettre l'an prochain. Bref, le format est là pour rester. Et les problèmes pourraient arriver. Ils ne concerneraient cependant pas tant le format lui-même que ses lecteurs...

Car les attaques envisageables contre un lecteur RSS sont nombreuses : outre l'insertion de scripts ou d'objets, les bonnes vieilles attaques du type iframe ou par redirection peuvent fonctionner, ainsi que l'exécution de code dans les définitions de styles (en ligne ou liés) ou encore l'insertion de web bugs, ces images invisibles qui permettent d'en apprendre beaucoup sur le contexte dans lequel le contenu HTML a été lu.

Plus d'information

Le fil-test pour la sécurité des lecteurs RSS.

L'insécurité, c'est Microsoft. (13 déc 2002)
Les chiffres de la sécurité en 2004 selon le FBI. (20 sept 2004)
LSQ : le flou de la sécurité quotidienne. (29 oct 2001)
Le guide sécurité des Nouvelles.net est disponible. (06 juin 2005)
Baltimore et la sécurité externalisée (11 oct 2000)

Cartes blanches

Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.	Intégrer l'analyse de risques dans les projets Stéphane Aubert Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
>> Plus de Cartes Blanches