La KU Leuven passe les standards W3C au peigne fin

Guy Kindermans Rédacteur de Data News

HTML5 et 12 autres nouveaux standards W3C ont été soumis à un examen approfondi à la demande de l’agence européenne pour la sécurité Enisa, en accordant une attention toute particulière à 50 points névralgiques et à des solutions possibles.

HTML5 et 12 autres nouveaux standards W3C ont été soumis à un examen approfondi à la demande de l’agence européenne pour la sécurité Enisa, en accordant une attention toute particulière à 50 points névralgiques et à des solutions possibles.

Tant les versions renouvelées de standards existants comme HTML que toute une série de nouveaux venus (comme pour les services de géo-localisation) et autres API atteignent un stade, où ils prennent une forme définitive. L’European Network and Information Security Agency (Enisa) a donc invité le DistriNet Research Group de la KU Leuven à effectuer une analyse sécuritaire de 13 standards W3C. Celle-ci a été à présent publiée sous l’appellation ‘A security analysis of next generation web standards’.

En tout, une cinquantaine de points névralgiques de différentes importances ont été examinés. Cela va des spécifications insuffisamment définies ou peu sûres jusqu’aux problèmes susceptibles de générer vraiment des fuites d’informations importantes ou l’abus d’applications. L’étude prodigue des recommandations concrètes tant au W3C et aux producteurs de navigateurs qu’aux développeurs d’applications web et aux utilisateurs finaux.

C’est ainsi qu’à terme, il serait peut-être préférable de formuler une spécification séparée, afin d’attribuer une autorisation de manière uniforme quant à l’utilisation d’informations, etc., et ce dans le cadre d’une grande diversité d’applications et de services. Une autre recommandation concerne la possibilité d’exploiter des profils de sécurité prédéfinis ou la possibilité de pouvoir en créer soi-même plus facilement avec l’aide d’un assistant (‘wizard’) par exemple.

Pour tout cela, les notions de sécurité et la connaissance professionnelle du développeur de l’application web demeurent ultra-importantes. L’amélioration de ces notions représente un lent processus, affirme le prof. Frank Piessens (département sciences informatiques), ne serait-ce qu’en raison des changements des goulets d’étranglement possibles (le ‘problème de buffer overflow’ des logiciels écrits en C n’existe par exemple plus en Java ou C#). “Entre-temps, cela fait 10 ans déjà que nous consacrons une attention toute particulière à ce problème dans la discipline ‘Ontwikkeling van veilige software’ (développement de logiciels sûrs)”, affirme Piessens, qui collabore aussi au cursus ‘secappdev’ annuel dispensé par la Solvay Brussels School et la KULeuven.

Pour ce qui est de W3C, Philippe De Ryck, l’auteur principal de l’étude, prétend “qu’il y a en son sein une certaine disposition à travailler sur ces points”. L’étude a été réalisée juste avant la date butoir pour la communication des problèmes, et les principaux points ont déjà été mis sur la liste mailing des responsables concernés. Il apparaît en outre que les producteurs de navigateurs accordent aussi de l’importance au fait d’aborder de manière plus uniforme un problème comme celui de l’attribution d’autorisations.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire