RSS : la sécurité en question

Par Christophe Elise, le 06 sept 2005 à 11:15:00 - Dernière modification le 06 fév 2008.

La sécurité du format RSS est encore loin de passionner les foules. Mais avec son introduction dans Windows Vista et Internet Explorer 7, cela risque fort de changer. Déjà, des voix s'élèvent pour mettre en garde contre une utilisation irréfléchie de ce format, et des attaques sont même expérimentées. A l'heure où les entreprises envisagent des flux RSS privés, à l'aube de voir RSS massivement utilisé sous Windows, voici le point sur la sécurité de ce format. Avec en prime un lien pour tester votre lecteur.

Le format RSS est bien connu des internautes avertis : il permet l'agrégation de contenus issus d'une multitude de sources d'information en une vue unique, généralement au sein d'un lecteur dédié ou directement en ligne grâce à une page web spécifique.
Avec RSS, plus besoin de passer sur chaque site d'information pour voir si quelque chose a changé, et plus besoin de supporter leurs mises en page diverses (et parfois de mauvais goût), les publicités et autres distractions : les nouvelles entrées apparaissent instantanément dans la liste du lecteur, au format texte, avec celles des autres sites surveillés. Elles y sont résumées et il suffit alors d'un clic pour les lire directement dans le lecteur ou dans le navigateur standard. Bref, le format RSS est l'outil de veille par excellence et ce n'est pas un hasard si de plus en plus en plus de sites d'actualité publient désormais leur contenu sous cette forme (y compris Les Nouvelles.net, bien sûr !)

Mais comme tout véhicule de l'information sur le web, RSS peut aussi être abusé. Car le format n'est finalement qu'un dialecte XML qui permet de pointer vers des contenus HTML traditionnels. Il "embarque" les descriptions de ces derniers et fournit généralement un lien vers le contenu lui-même sur le site de son éditeur. Ce format est tellement souple qu'il permet également d'inclure, avec la description au format HTML, de nombreux objets, et en premier lieu des scripts. Ce contenu est alors interprété dans le navigateur standard ou directement dans le lecteur.
A y regarder de plus près, un lecteur RSS n'est donc finalement pas très différent d'un client email qui reçoit un courrier au format HTML. Et quant on sait combien les clients emails ont pu être abusés par les pirates, on s'aperçoit vite que le potentiel d'exploitation de RSS n'est pas exagéré.
Aujourd'hui, bien sûr, le format n'est pas assez répandu pour vraiment tenter les auteurs de spyware et autres diffuseurs de parasites. Selon l'analyste Jupiter Research le format n'est encore utilisé que par 6% des internautes américains. Mais la décision de Microsoft d'inclure RSS au coeur de Windows Vista et dans Internet Explorer 7 (à l'image de ce que Firefox ou Safari proposent déjà) viendra probablement augmenter largement ce chiffre. Et il pourra alors devenir un vecteur tentant pour la diffusion de parasites !
D'autant plus tentant, d'ailleurs, que les entreprises commencent déjà à s'y intéresser dans le cadre de flux privés. RSS est alors mis en oeuvre pour distribuer de l'information sur un extranet ou pour permettre à deux applications web d'échanger automatiquement des informations (à la façon des Web Services). Selon une étude de Jupiter Research parue cet été, 30% des entreprises américaines qui génèrent plus de 50 millions de dollars de revenus ont déployé RSS, et 28% de celles qui ne l'ont pas fait comptent s'y mettre l'an prochain. Bref, le format est là pour rester. Et les problèmes pourraient arriver. Ils ne concerneraient cependant pas tant le format lui-même que ses lecteurs...

Car les attaques envisageables contre un lecteur RSS sont nombreuses : outre l'insertion de scripts ou d'objets, les bonnes vieilles attaques du type iframe ou par redirection peuvent fonctionner, ainsi que l'exécution de code dans les définitions de styles (en ligne ou liés) ou encore l'insertion de web bugs, ces images invisibles qui permettent d'en apprendre beaucoup sur le contexte dans lequel le contenu HTML a été lu.
En bref, les lecteurs RSS d'aujourd'hui doivent faire face aux mêmes problèmes de sécurité que les web mails en leur temps. Et même si certains bloggers ont commencés à donner l'alerte dès 2003, beaucoup de lecteurs RSS sont encore absolument pas sécurisés.
Heureusement, l'industrie semble toutefois prendre la mesure du problème. Le sentiment dominant est que le monde des lecteurs RSS pourra bénéficier des connaissances acquises "à la dure" par les clients emails et se mettre rapidement à niveau. Microsoft s'apprête ainsi à discuter la sécurité de RSS lors de sa Professional Developers Conference à Los Angeles ce mois-ci. Verisign envisage de son côté de fournir des outils et des services pour assurer la sécurité des flux RSS, et l'éditeur Reactivity propose déjà une passerelle XML capable de contrôler les flux à ce format.

Pour de nombreux experts cependant, le risque principal ne viendra pas de la diffusion par RSS de contenus issus des producteurs eux-même. Si ces derniers sont de confiance, leurs flux devraient être sains. Le risque viendrait plutôt des services d'agrégation tiers. Eux permettent de générer un flux RSS à partir de sites web qui ne publient pas eux-même leurs informations à ce format. C'est par exemple le cas de certains quotidiens ou hebdomadaires encore frileux face au web : ils publient bien certains articles sur leur site, mais ils n'offrent aucun flux RSS. Un service d'agrégation tiers peut alors se charger d'extraire les informations au format HTML de leurs pages, de la mettre en forme dans un fil RSS et d'y ajouter éventuellement n'importe quoi (publicité, adware...). Les internautes ne feront probablement pas la différence et penseront s'être abonné au fil RSS d'un quotidien réputé.
Voilà qui devrait motiver les fournisseurs de contenu qui n'ont encore rien compris au RSS à s'y pencher eux-même... avant que quelqu'un le fasse à leur place !

Enfin, pour les utilisateurs d'un lecteur RSS (dédié ou en ligne), un flux spécial permet de tester sa vulnérabilité à de nombreuses attaques connues. N'hésitez pas à nous faire part de vos résultats. Avec suffisamment de réponses nous pourrons réaliser un comparatif informel et collaboratif des lecteurs RSS actuels. N'oubliez pas alors de préciser quel lecteur vous utilisez, sa version exacte et votre plate-forme (Windows, Mac, Linux, en ligne avec quel navigateur). Indiquez dans votre message uniquement les tests ratés par votre lecteur (apparition d'une fenêtre pop-up ou de l'image d'un point d'exclamation jaune. Chaque test correspond à une ligne différente... pensez à les faire tous !). S'il y a suffisamment de matière, nous le publierons de manière permanente.

Plus d'informations :

• Le fil-test pour la sécurité des lecteurs RSS.