Menu

Technocité
Nos formations
Nos services entreprise
Infos pratiques
Validation des Compétences
 
 

Nos projets

COFFEE
DigiBIRD
DIGISTORM
 
 

Avec le soutien de

 
HTML5-securitehtml5-banner

 

HTML5 est l’une des technologies du futur du web. Bien que le langage ne soit encore qu’à l’état de spécification non validée par le W3C, à l’heure où nous écrivons ces lignes, il est déjà largement plébiscité par les éditeurs logiciels, à commencer par les plus importants d’entre eux, à savoir Google, Microsoft et Apple. S’il offre de réels avantages en termes de structuration des pages, de sémantique et de fonctionnalités, le langage souffre malheureusement d’un nombre importants de failles de sécurité, qui ont été mises en avant récemment. Qu’en est-il exactement ?

L’ENISA, l’Agence européenne en charge de la sécurité des réseaux et de l’information, dans un rapport officiel, en a dénombré pas moins d’une cinquantaine, qui sont autant de portes d’entrées potentielles pour des attaques malveillantes.

En voici quelques unes parmi les plus significatives :
-    Le localStorage : basé sur un principe relativement similaire aux cookies, c’est-à-dire le stockage d’informations en local sur l’ordinateur de l’utilisateur, le localStorage est une nouvelle fonctionnalité qui permet de recueillir de l’information sur la navigation de l’internaute au sein d’un domaine. Celle-ci peut par exemple servir ensuite à de la publicité ciblée. Rien de bien neuf donc par rapport aux cookies sauf qu’ici la quantité d’informations qui peuvent être collectées est énorme puisque il sera désormais possible de stocker jusqu’à 5MB !
-    Le mode offline : celui-ci permet d’exécuter tout ou partie d’une application, même lorsque l’on n’est plus connecté. En accédant au contenu des variables de stockage local, l’individu mal intentionné peut ainsi les remplacer par les siennes et agir comme un cheval de troie derrière le pare-feu de l’utilisateur et à l’insu de celui-ci.  
-    Les web sockets : ils permettent de garder une connexion bi-directionnelle ouverte entre le serveur et le client, ce qui évite les déconnexions des bases de données. Mais détournés, ils peuvent aussi servir à installer des scripts malveillants.
-    Les iFrames : utilisés en mode invisible pour intercepter les actions de l'utilisateur, ils peuvent transmettre des données confidentielles aux pirates.
-    La géolocalisation : certaines nouvelles fonctionnalités introduites par HTML5 autorisent à connaître la position GPS exacte d’un internaute en temps réel. La porte ouverte aux cambrioleurs technophiles ou aux espions indiscrets…
-    Le JavaScript : il était possible jusqu’à présent de le désactiver dans le navigateur mais HTML5 ôte cette possibilité, transférant la responsabilité de la sécurisation des applications aux développeurs

D’une manière générale, les menaces identifiées concernent le contournement des mécanismes de contrôle d’accès, la possibilité de détourner les formulaires de soumission (dans les formulaires notamment), l’accès aux informations sensibles non protégées et l’applicatif.

Certains éditeurs logiciels comme Google, ont pris conscience du problème en instaurant un mécanisme de sandbox (boîte à sable), empêchant ainsi dans une certaine mesure les intrusions malveillantes. Le navigateur Chrome a été pionnier en la matière, les autres éditeurs ont depuis suivi le mouvement.  

Le W3C, avant la phase d’implémentation finale de HTML5 a encore trois ans pour corriger ces failles de sécurité. Même si d’importants efforts ont été entrepris, les nouvelles fonctionnalités ont mis à jour un certain nombre de faiblesses auxquelles il sera nécessaire de remédier dans les mois à venir afin d’offrir aux utilisateurs une expérience de navigation dans un cadre sécurisé, seul apte à générer la confiance nécessaire au développement de l’activité économique sur le net. L’enjeu est donc à la hauteur des attentes.