Reléguée au second plan, la sécurité des applications à base de services web pose de vrais problèmes dès qu’il s’agit d’ouvrir l’entreprise au reste du monde. Différentes initiatives tentent de combler les brèches mais, pour l’instant, rien de concret n’a encore réellement vu le jour.
Conçus pour simplifier la mise en place de plates-formes d’échanges B to B, les services web brillaient, il y a encore quelques mois, par l’absence quasi totale de solution de sécurité adaptée. La plupart des entreprises utilisatrices de ces technologies se sont en effet contentées de sécuriser les accès par un coupe-feu qui filtre les utilisateurs par adresse IP, et de protéger les données en recourant au protocole HTTPS (version sécurisée du protocole du web).C’est peu lorsque l’on connaît les risques encourus, notamment en terme d’authentification. Facilement falsifiable, une adresse IP n’est en effet en rien le garant de l’identité de l’utilisateur. Quant à la gestion de la non-répudiation des messages, indispensable dans le cadre d’échanges commerciaux pour prouver, en cas de litige par exemple, que le partenaire a bien reçu l’information à l’heure dite, il ne faut pas non plus compter sur IP ou sur HTTP.Enfin, les normes des web services ne comportent aucune solution pour décrire et limiter les droits d’un service web à en appeler un autre. Un point critique pour des technologies supposées faciliter l’ouverture sur l’extérieur : une fois le barrage de l’authentification passé, le pirate accède à l’ensemble du système d’information.Faute de gestion de l’habilitation entre services web, ces derniers peuvent être détournés et finalement servir pour invoquer n’importe quelle application dans le système. Dès lors, on comprend aisément que les entreprises soient convaincues par le modèle des services web, mais qu’elles limitent leur usage aux collaborateurs internes !En collaboration avec le W3C, IBM, Microsoft et Verisign se sont attelés à la tâche de la sécurisation des applications fondées sur les services web, et ont donné naissance à WS-Security. L’Oasis vient également de lancer une initiative parallèle, le Security Standard Joint Committee. Pour l’heure, rien n’a encore été ratifié. La complexité de ces projets, qui devraient s’appuyer sur les serveurs d’annuaire, laisse présager de nombreux mois avant l’obtention d’une solution de sécurité satisfaisante.