Passer au contenu

Wiki, RSS : les outils grand public arrivent en entreprise, les risques également

L’entreprise n’échappe pas aux outils en vogue sur Internet. Ni aux risques qu’ils représentent. Le format RSS, par exemple, s’expose déjà à diverses attaques.

L’usage des systèmes d’information tend vers le tout collaboratif (Wiki) et instantané (RSS et messageries instantanées). Les entreprises sont ainsi de plus en plus nombreuses à mettre en ?”uvre les flux RSS, que ce soit
pour leur intranet/extranet ou pour faciliter l’échange automatique d’informations entre applications (comme les services Web). D’autant que le nombre de logiciels qui tiennent compte de ces fils ne cesse de croître, à
l’instar de la prochaine version de l’outil collaboratif libre Open-Xchange Server 5, attendue pour le mois de mars.Mais à nouvelles techniques, nouvelles failles, et nouveaux défis organisationnels. Ces technologies participent à l’augmentation du volume des flux et à celle, vertigineuse, de la masse des données stockées. Sans compter que les
risques d’atteinte au patrimoine informationnel de l’entreprise restent élevés. ‘ L’usage avéré (failles des Wikis ou des navigateurs) ou potentiel (RSS, VoIP) des bogues applicatifs apparaît marginal,
mais loin d’être virtuel ‘,
rappelle Jérémy Renard, consultant pour l’agence sécurité de Sogeti.

Encadrer la créativité sans l’étouffer

Le format RSS peut, en effet, être abusé : écrit en XML, pointant vers des contenus HTML, il ‘ embarque ‘ la description de ces derniers. Sa souplesse permet d’inclure de nombreux objets, comme les
scripts, directement interprétés par le lecteur dédié ou le navigateur.Parmi les attaques potentielles, on trouve aussi celle, antédiluvienne, de type iframe (faille I.E. 6 SP1 : erreur au niveau de la gestion des tags), la redirection sur une page piégée, l’exécution de
code dans les feuilles de style CSS, ou encore l’insertion de ‘ Web bugs ‘ (image de 1 pixel, invisible, qui enregistre le comportement d’un internaute sur une page donnée). Il est donc probable que les
lecteurs RSS aient à faire face aux mêmes problèmes de sécurité que ceux rencontrés voilà quelques années par les messageries Internet (de type Hotmail).La généralisation de protocoles de cryptage comme SSL/TLS, de flux VPN, de serveurs de courriers sécurisés (IMAPS, SMTPS) ou d’annuaires sécurisés (LDAPS) doivent aider en principe à établir la disponibilité, l’intégrité
et la confidentialité des données.En parallèle, clients et prestataires doivent rapidement faire évoluer la gestion opérationnelle des projets : la production documentaire et contractuelle (études, spécifications, livrables, comptes rendus, etc.) se décentralise.
Sans étouffer les initiatives, les chefs de projet doivent éviter tous débordements. Car nul ne sait où peut mener l’expression complète de la ‘ créativité ‘ dans un projet sans garde-fous humains, ni dispositifs
techniques sécurisés ?* consultant sécurité chez Sogeti

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Éric Hazane* et Renaud Édouard-Baraud