Publié le : 27 Novembre 2012

Bee Ware inclut la couverture sécurité HTML5 dans ses règles de filtrage.

Dans son étude "Hype Cycle for Web Computing 2012", datant du 1er août 2012, le Gartner annonce l’utilisation du langage HTML5 par l’ensemble de la population pour 2017. Cette prédiction, due essentiellement à l’essor de la mobilité, soulève par ailleurs de nouvelles problématiques sécuritaires. Pour faire face à ces menaces, le Gartner recommande d’utiliser dès à présent des mesures de protection adaptées.

 

Prochaine révision majeure du format de données HTML, le langage HTML5 est en cours d’élaboration depuis maintenant plusieurs années. Le W3C* et le WHATWG** travaillent conjointement aux spécifications de ce langage, dont la finalité sera d’offrir aux applications web toujours plus de dynamisme et de qualité.

Bien que la finalisation des spécifications de ce langage ne soit officiellement prévue qu’en 2014, le W3C encourage dès à présent son utilisation afin d’en améliorer l’usage.

Très vite adopté par les développeurs d’applications Web, HTML5 connait un succès grandissant, principalement dû au fait qu’il permet de reproduire les caractéristiques habituellement proposées par les logiciels propriétaires (i.e. Flash, Silverlight, etc.).

Au programme des évolutions proposées, on notera particulièrement :

Une mise en forme simplifiée et standardisée des pages Web

L’optimisation de l’affichage selon la taille de l’écran

L’intégration de pistes audio et vidéo sans technologie tierce

Un stockage interne permettant de profiter de certaines applications web en mode "hors connexion"

De nouvelles balises supportant la gestion de nombreux évènements Client Etc.

Outre le développement aisé de sites Web et d’applications mobiles, l’utilisation précoce d’HTML5 a également permis de mettre en évidence de nombreuses failles de sécurité...

En effet, les systèmes actuels de protection n’étant pas préparés aux nouvelles fonctionnalités proposées (et donc aux nouvelles structures syntaxiques), l’utilisation d’HTML5 a mis en évidence de nouvelles vulnérabilités.

De nombreuses recherches menées sur le sujet ont fait ressortir les possibilités d’attaques suivantes :

Côté client

L’injection de code malicieux ou de librairies corrompues dans le Cache Manifest (cache permettant aux applications de fonctionner hors ligne)

Le Filejacking, vol de fichiers utilisant la balise file directory de l’API fichiers de HTML5

L’accès non autorisé aux microphones, webcams et autres outils de géolocalisation

La récupération de données sensibles (login, mot de passe, etc.) via les espaces de stockage local d’HTML5 (espaces mis à disposition des applications Web)

Côté serveur

La reviviscence d’attaques, telles les "cross-site requests", "cross-site scirpting" ou "html injection".

Pour répondre à ces nouvelles menaces, Bee Ware a développé une mise à jour complétant les règles de filtrage de la plate-forme de sécurité i-Suite.

L’ensemble des produits Bee Ware sont donc désormais protégés contre toute tentative visant à contourner, via les nouveaux éléments HTML5, les protections d’ores et déjà mises en place.


*W3C : World Wide Web Consortium. Organisme de normalisation à but non lucratif, chargé de promouvoir la compatibilité des technologies du Web.

**WHATWG : Web Hypertext Application Technology Working Group. Collaboratiion non officielle des différents développeurs de navigateurs web ayant pour but le développement de nouvelles technologies (destinées à faciliter l’écriture et le déploiement d’applications à travers le Web).

Marc Jacob

lire l'article