Passer au contenu

Les produits de sécurisation des services web arrivent

Les services web changent la donne des modèles de sécurité en exploitant des relations de confiance bâties à la volée, entre applications. Les standards sont en cours d’implémentation dans les produits commerciaux.

Les avantages énoncés des services web sont une intégration plus rapide et moins coûteuse des applications. Revers de la médaille : ils soulèvent des problèmes de sécurité, qui supposent l’adoption de nouveaux standards et une mise en ?”uvre progressive. De l’eau coulera sous les ponts avant que l’on ne voie des services web sécurisés et pleinement interopérables sur le terrain.

XML, Soap, WSDL et UDDI : les composants des services web

Première difficulté : “Les services web ne reposent plus sur des connexions “figées” entre applications”, note Bloor Research. Cette modification amène à repenser les relations entre partenaires commerciaux B to B. Pour cela, la mécanique des services web repose sur quatre composants : XML, Soap, WSDL et UDDI. XML est la pierre angulaire. C’est l’outil idéal pour transmettre de l’information entre des systèmes informatiques hétérogènes. Il encapsule tout type d’information structurée et représente 2 % du trafic internet à l’heure actuelle, mais devrait monter à 25 % en 2006, selon le cabinet d’analystes ZapThink. Soap, WSDL et UDDI sont fondés sur XML. Soap (Simple object access protocol) gère l’échange des messages XML via le protocole de transport HTTP, mais il pourrait utiliser d’autres protocoles tels que SMTP. Quant à WSDL (Web services description language), il définit comment décrire des services web. Enfin, UDDI (Universal description discovery and integration) fournit les services indispensables à la localisation et à la compréhension des services web accessibles sur Internet.En pratique, sur un réseau, un analyseur de trames IP verra la chose suivante : HTTP, qui encapsule Soap, qui encapsule les flux métiers. Mais XML, et Soap n’ont pas de sécurité intégrée. Il faut donc les compléter. La première étape est SAML (Security assertion markup language), qui fixe un cadre XML pour l’échange des informations de sécurité. SAML ne préjuge pas des mécanismes d’authentification et d’autorisation employés. Il a été récemment intégré à de nombreux outils de contrôle d’accès web et de SSO (Single sing-on). L’étape suivante est WS- Security. Il définit un niveau d’abstraction très supérieur à SAML, qu’il complète. Il décrit des améliorations des messages Soap, afin de fournir une protection à travers l’intégrité des données, leur confidentialité et un unique message d’authentification. WS-Security associe également des jetons de sécurité aux messages. Le jeton peut être de n’importe quel type : ticket Kerberos, certificat numérique X509 V3 ou autres.Au sein de WS-Security, deux spécifications majeures ont été définies : XML-Encryption et XML-Signature. La première précise comment utiliser XML pour représenter un document web chiffré, en partie ou en totalité ; la seconde vise à assurer l’authentification et l’intégrité du message, ainsi que l’authentification de l’expéditeur (signataire du message) pour tout type de données. Ces normes sont encore en cours d’implémentation dans bon nombre de produits. Ajoutons enfin que WS-I (Web services- Interoperability) vient d’annoncer la disponibilité d’un profil de base pour développer des services web interopérables. “Ce profil va décrire Secure HTTP (HTTPS), qui n’est pas encore proposé par WS-Security”, note Steven Van Rockel, directeur marketing des services web chez Microsoft.Outre les outils de développement, les XML Security Toolkits, et l’intégration des standards dans les applications, un autre segment de la sécurité a vu le jour. Il s’agit du marché des coupe-feu XML et des solutions de filtrage Soap complémentaires des pare-feu traditionnels. Si le leader du domaine, Check Point, montre le bout de son nez dans cette direction, avec son FireWall-1 NG FP-3, plusieurs jeunes pousses tapent à la porte. Ainsi, la société Reactivity a lancé son Service Firewall, proposant un filtrage complémentaire aux pare-feu. “Le trafic réseau est constitué de paquets, tandis que le trafic applicatif est formé de messages, rappelle John Lilly, cofondateur de Reactivity. Notre coupe-feu surveille, sécurise et contrôle tous les messages XML transitant entre les entreprises, les utilisateurs, et autres. Nous apportons un meilleur niveau de sécurité et plus de richesse de traitement des messages que les serveurs d’applications. Nous séparons la sécurité de la supervision de chaque application d’un point de vue “métiers”.”

VordelSecure, un serveur reverse proxy

Autre différence : les coupe-feu traditionnels sont habitués à définir des authentifications et des autorisations de type homme-machine, et non d’application à application. Un aspect que prennent en compte les spécialistes de la sécurité des services web, tel Vordel. Mark O’Neill, directeur technique de Vordel, précise : “Les coupe-feu destinés aux données XML ne sont qu’un aspect de la sécurité XML. Il faut aussi contrôler l’accès, en s’appuyant sur l’identité. Cela requiert SAML, WS-Security et les certificats numériques, et va au-delà d’un nouveau module de Check Point. De plus, avec VordelSecure, nous routons également les messages Soap.” Ce qui s’avère utile lors de l’enchaînement de plusieurs services web.Le logiciel VordelSecure fonctionne comme un serveur relais (reverse proxy). Très complet, il mêle contrôle d’accès, filtrage de contenu, système d’alerte et gestion des historiques. En pratique, VordelSecure examine l’intégrité, la structure et le contenu de requêtes XML, en s’appuyant sur les principaux standards tels que SAML, XKMS, XML Schema, Xpath, XML Signature, XML Encryption et WS-Security. VordelSecure peut aussi vérifier l’authenticité de certificats X509, en s’intégrant à des annuaires de PKI. Mark O’Neill poursuit : “Les coupe-feu XML du type de Reactivity n’offrent qu’une partie des fonctionnalités de VordelSecure. Nous contrôlons aussi l’accès aux services web, en nous appuyant sur l’identité de l’expéditeur des données XML grâce aux annuaires LDAP, aux certificats numériques et à SAML. VordelSecure permet aux entreprises de surmonter la complexité et le coût lié à l’intégration des toolkits de sécurité, au fur et à mesure que les standards évoluent.”Une solution concurrente, Soap Content Inspector, de l’éditeur Quadrasis, s’appuie également sur la gestion des jetons SAML. D’autres acteurs se positionnent avec des produits traitant les attaques applicatives et de services. Chez l’israélien Kavado, un serveur relais analyse la syntaxe. Son produit, InterDo 2.5, intégrait déjà un premier niveau de sécurité, avec son tuyau sécurisé Soap et une protection contre les attaques applicatives (tels SQL Injection et buffer overflow). Réputé dans ce domaine, tout comme Sanctum et Spi Dynamics, Kavado vient d’annoncer une solution séparée de protection des services web, appelée InterDo Web Access 2.5.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager