Créées pour faciliter l’établissement de transactions commerciales à la volée sur Internet, les technologies des services Web n’ont pas prévu de redoutable cerbère pour garder leur porte. L’ouverture est, en effet, leur raison d’être. Grâce au langage XML, ces technologies uniformisent la présentation de leurs services, rendant ainsi leur accès transparent à tout type de plate-forme : Corba, Java 2 pour l’entreprise, Microsoft .Net, systèmes centraux, etc.Il reste que, pour une entreprise, laisser ses partenaires accéder à son système d’information ne sera positif qu’à condition de pouvoir clairement les authentifier et vérifier leurs droits d’accès. Avec les services Web, les risques encourus sont bien plus importants que sur un site Web classique. Un intrus n’accédera pas seulement à un serveur de pages fonctionnant sur un serveur d’applications. Il atteindra directement le c?”ur des applications centrales de l’entreprise. Le problème principal des technologies de services Web réside dans l’absence de standards de sécurité. La version actuelle du protocole Soap (Simple object access protocol), défini par IBM et Microsoft, ne prend absolument pas en compte ces aspects. Soap définit le format standard des messages qui transiteront entre les partenaires commerciaux via HTTP. L’utilisation du langage XML pour établir cette structure de messages permet de passer sans encombre les pare-feu des entreprises. Il reste toutefois possible d’assurer un minimum de sécurité avec les standards actuels du Web. Le protocole HTTP-S, par exemple, assure une sécurité de base en point à point. En revanche, il n’existe aucun moyen de garantir la sécurité de bout en bout des échanges commerciaux. Considérons le cas d’une agence de voyages. Elle offre un service Web de réservation groupée réunissant un billet d’avion, une réservation de chambre d’hôtel et une location de voiture.
La sécurité devrait être prise en charge par les applications elles-mêmes
Pour cela, l’agence appelle les services Web d’une compagnie aérienne, d’une chaîne d’hôtels et d’un loueur d’automobiles. Avec les technologies actuelles, l’agence de voyages identifiera l’utilisateur de son service.En revanche, la compagnie aérienne, l’hôtelier et le loueur de voitures n’auront aucune information sur cet utilisateur. Ils ne “verront” que l’agence, alors qu’ils ont peut-être de bonnes raisons de refuser de prendre la commande du client concerné. Il n’y a pas de propagation de la sécurité. Pour y remédier, il faudra que la sécurité soit prise en charge par les applications elles-mêmes avec comme paramètre d’appel un certificat X509 ou tout autre moyen d’authentification. De même, les services Web devront vérifier les droits d’accès des appelants.
Les standards tels que SAML, XACML, XKMS sont soutenus par les plus grands
Conscients des points faibles des technologies de services Web, les organismes de standardisation sont au travail. “Notre programme, pour la fin de 2001 et pour 2002, contient l’élaboration d’un standard de représentation des signatures électroniques en XML, ainsi qu’un standard de cryptage des données décrites en XML “, précise Philippe Le Hegaret, du consortium W3C. De leur côté, les éditeurs spécialistes de la sécurité, tels VeriSign, Baltimore, Entrust, Netegrity, ou encore, RSA Security ont soumis au W3C, ou au consortium Oasis, les propositions des standards SAML (Security assertion markup language), XACML (Extensible access control markup language) et XKMS (XML key management specification).SAML vise à créer un standard de propagation de bout en bout du contexte de sécurité des services Web. XACML, de son côté, propose un standard de représentation des droits d’accès en XML. Enfin, XKMS définit une infrastructure PKI de seconde génération qui assure l’interopérabilité des infrastructures de sécurité existantes ?” dont les PKI ?” des entreprises. Basé sur XML, XKMS utilise les technologies de services Web telles que Soap et le langage de description des services WSDL.Il s’appuie sur SAML, XACML, et sur le futur standard de signature électronique du W3C. Il offrira aux entreprises la possibilité d’intégrer facilement des technologies PKI dans leurs applications de commerce électronique. Il inclut le traitement des certificats numériques, simplifie la prise en compte des signatures électroniques et du cryptage. Ces propositions de standards sont également soutenues par IBM, Iona, Microsoft et webMethods. Elles ont été prises en compte dans le programme de travail du W3C.
Un paradoxe : vers une utilisation principalement interne
Paradoxalement, lorsque ces standards seront effectivement intégrés aux principales infrastructures logicielles, le problème de sécurité des services Web ne sera toujours pas totalement résolu. En effet, les services Web imposent d’inscrire les services mis à disposition dans un référentiel mondial (UDDI), au sein duquel les différents partenaires viendront piocher. Or, n’importe qui pourra y accéder. C’est pourquoi de nombreuses entreprises, méfiantes, préfèrent n’utiliser les technologies de services Web qu’en interne. Elles bénéficient ainsi d’un référentiel informatisé (incluant la définition des interfaces de leurs applications) et elles font collaborer des technologies hétérogènes (Corba, J2EE et .NET). L’émergence des standards de sécurité XML devrait toutefois permettre l’utilisation des services Web dans un cercle d’utilisateurs élargi, acceptant les principaux partenaires de l’entreprise.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.