Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité sur Internet : l’ENISA, l’agence de cyber-sécurité de l’UE, met en évidence des correctifs de sécurité pour de nouvelles normes du Web

août 2011 par ENISA

À un moment crucial dans le développement de HTML5, la nouvelle norme de base pour Internet, l’ENISA propose aujourd’hui d’importants correctifs de sécurité pour 13 normes du Web à venir. L’ENISA a identifié 50 menaces de sécurité et a proposé des solutions pour y répondre.

Les activités bancaires, le réseautage social, les achats, l’orientation, les paiements par carte et même la gestion d’infrastructures critiques comme les réseaux d’énergie - la quasi-totalité des activités imaginables ont aujourd’hui lieu au sein d’une fenêtre de navigateur. « Le navigateur Web est aujourd’hui l’une des composantes les plus sensibles de notre infrastructure d’information en termes de sécurité - une cible de plus en plus lucrative pour les cyberpirates, » a commenté le Prof. Udo Helmbrecht, Directeur Exécutif de l’ENISA.

Afin d’implémenter des innovations au sein des applications Web et leurs modèles opérationnels, et en vue de permettre à davantage d’individus d’utiliser Internet, le W3C (Worldwide Web Consortium) travaille actuellement sur des révisions majeures de ses normes de base.

L’ENISA a saisi cette opportunité pour passer en revue ces spécifications et pour proposer des améliorations visant à renforcer la sécurité des navigateurs pour tous les internautes. « Un grand nombre de ces spécifications vont atteindre un point de non-retour. Pour une fois, nous avons l’opportunité de réfléchir profondément à la question de la sécurité - avant que la norme ne soit gravée dans le marbre, au lieu d’essayer de recoller les morceaux après coup. Il s’agit d’une chance unique de développer l’approche de sécurité dès la conception, » a déclaré Giles Hogben, corédacteur du rapport.

« Nous accueillons avec joie ce rapport de sécurité opportun de l’ENISA. Nous avons encouragé l’ENISA à signaler les problèmes qu’elle avait identifiés auprès des Groupes de travail concernés du W3C, » a expliqué Thomas Roessler, principal chargé de la sécurité du W3C.

L’analyse de l’ENISA révèle 50 menaces et problèmes de sécurité, dont :
- L’accès non protégé aux informations sensibles
- De nouvelles façons de déclencher des soumissions de formulaires pour les cyberpirates
- Des problèmes en termes de spécification et d’application des politiques de sécurité
- De possibles décalages avec la gestion des autorisations des Systèmes d’exploitation
- Des fonctionnalités sous-spécifiées, pouvant mener à des mises en oeuvres sujettes à erreurs ou conflictuelles
- De nouvelles façons d’échapper à la protection et aux mécanismes de contrôle d’accès en utilisant le « click-jacking », ou « détournement de clic » en français (technique visant à pousser l’internaute à cliquer sur des liens ou boutons dangereux).

« Une conclusion importante de cette étude est qu’un nombre considérablement plus faible de problèmes de sécurité a été relevé dans ces spécifications, qui ont déjà fait l’objet d’un examen de sécurité détaillé. Cela démontre la valeur des examens de sécurité approfondis des spécifications à venir, » a déclaré Marnix Dekker, corédacteur du rapport.




Voir les articles précédents

    

Voir les articles suivants