Le travail hors ligne rend les applications web peu sûres

Les applications web utilisées hors ligne sont insuffisamment sécurisées contre les attaques de base de données par injections SQL sur l’ordinateur du client.

Les applications web utilisées hors ligne sont insuffisamment sécurisées contre les attaques de base de données par injections SQL sur l’ordinateur du client.

Voilà ce qu’a démontré, la semaine dernière, Michael Sutton, l”évangéliste de la sécurité’ lors de la conférence Black Hat organisée à Washington. Sutton a montré comment des assaillants peuvent accéder à des données de paiement d’utilisateurs de Paymo.biz stockées localement. La faille dans la sécurité de cette méthode de paiement en ligne a entre-temps été colmatée, mais selon Sutton, un danger similaire guette sur un nombre croissant de sites.

Le problème est dû au fait qu’un nombre croissant d’applications web permettent aux clients de stocker des données localement, afin de pouvoir continuer à travailler hors ligne (‘offline’). Parmi les techniques de stockage de navigateur qui provoquent ce danger, il a cité Gears (Google) et la fonctionnalité de stockage database dans une version ultérieure du protocole HTML (HTML5). Tant Gears que le stockage de base de données HTML5 permettent aux applications web de stocker localement du contenu dans des banques de données relationnelles en recourant au format database SQLite.

Selon Sutton, ce type d’attaque n’est pas purement théorique: “C’est relativement facile à faire, parce que les vulnérabilités XSS (cross-site scripting) se manifestent partout.” Et d’ajouter que le risque de problèmes ne fait que croître car il existe toujours plus d’applications web basées sur Gears. L’utilisation du stockage database HTML5 ne se fera plus attendre longtemps non plus. C’est ainsi que les appareils basés iPhone et Android offrent hors ligne un accès à Gmail via l’utilisation de la nouvelle version de ce protocole internet.

En collaboration avec Computable