Technologies
RSS : la sécurité en question
Par Christophe Elise, le 06 sept 2005 à 11:15:00 - Dernière modification le 06 fév 2008.
La sécurité du format RSS est encore loin de passionner les foules. Mais avec son introduction dans Windows Vista et Internet Explorer 7, cela risque fort de changer. Déjà, des voix s'élèvent pour mettre en garde contre une utilisation irréfléchie de ce format, et des attaques sont même expérimentées. A l'heure où les entreprises envisagent des flux RSS privés, à l'aube de voir RSS massivement utilisé sous Windows, voici le point sur la sécurité de ce format. Avec en prime un lien pour tester votre lecteur.
[page 2 sur 2] En bref, les lecteurs RSS d'aujourd'hui doivent faire face aux mêmes problèmes de sécurité que les web mails en leur temps. Et même si certains bloggers ont commencés à donner l'alerte dès 2003, beaucoup de lecteurs RSS sont encore absolument pas sécurisés.
Heureusement, l'industrie semble toutefois prendre la mesure du problème. Le sentiment dominant est que le monde des lecteurs RSS pourra bénéficier des connaissances acquises "à la dure" par les clients emails et se mettre rapidement à niveau. Microsoft s'apprête ainsi à discuter la sécurité de RSS lors de sa Professional Developers Conference à Los Angeles ce mois-ci. Verisign envisage de son côté de fournir des outils et des services pour assurer la sécurité des flux RSS, et l'éditeur Reactivity propose déjà une passerelle XML capable de contrôler les flux à ce format.
Pour de nombreux experts cependant, le risque principal ne viendra pas de la diffusion par RSS de contenus issus des producteurs eux-même. Si ces derniers sont de confiance, leurs flux devraient être sains. Le risque viendrait plutôt des services d'agrégation tiers. Eux permettent de générer un flux RSS à partir de sites web qui ne publient pas eux-même leurs informations à ce format. C'est par exemple le cas de certains quotidiens ou hebdomadaires encore frileux face au web : ils publient bien certains articles sur leur site, mais ils n'offrent aucun flux RSS. Un service d'agrégation tiers peut alors se charger d'extraire les informations au format HTML de leurs pages, de la mettre en forme dans un fil RSS et d'y ajouter éventuellement n'importe quoi (publicité, adware...). Les internautes ne feront probablement pas la différence et penseront s'être abonné au fil RSS d'un quotidien réputé.
Voilà qui devrait motiver les fournisseurs de contenu qui n'ont encore rien compris au RSS à s'y pencher eux-même... avant que quelqu'un le fasse à leur place !
Enfin, pour les utilisateurs d'un lecteur RSS (dédié ou en ligne), un flux spécial permet de tester sa vulnérabilité à de nombreuses attaques connues. N'hésitez pas à nous faire part de vos résultats. Avec suffisamment de réponses nous pourrons réaliser un comparatif informel et collaboratif des lecteurs RSS actuels. N'oubliez pas alors de préciser quel lecteur vous utilisez, sa version exacte et votre plate-forme (Windows, Mac, Linux, en ligne avec quel navigateur). Indiquez dans votre message uniquement les tests ratés par votre lecteur (apparition d'une fenêtre pop-up ou de l'image d'un point d'exclamation jaune. Chaque test correspond à une ligne différente... pensez à les faire tous !). S'il y a suffisamment de matière, nous le publierons de manière permanente.
Plus d'information
- Le fil-test pour la sécurité des lecteurs RSS.
Cartes blanches
Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Les dossiers
Les thématiques
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
