Compte-rendu de la conférence JSSI-2007
Date : 08 Juin 2007
Le "Web
2.0" c'est quoi ? (présentation [1])
Le terme de "Web 2.0" est désormais très courant,
mais ce concept n'est pas toujours très clair. Le "Web 2.0" désigne
en fait les sites web qui sont conçus pour faire intervenir activement les
visiteurs, et qui reposent sur leurs participations. Typiquement, mettre en
place un serveur "web 2.0" c'est développer un site "vide",
sur un sujet donné, en l'équipant de tous les outils permettant ensuite aux
visiteurs d'y déposer et partager leurs contributions.
Par exemple "Wikipedia" (encyclopédie coopérative
rédigée par les internautes) est un exemple typique d'un service "Web
2.0", alors que l'encyclopédie "Britannica Online" serait un
service "Web 1.0" qui rend le même service (on désigne
rétro-activement les sites conventionnels sous le terme de "Web 1.0")
.
"Flickr" (site de partage d'images) "YouTube"
(partage de vidéos), "MySpace", ou plus généralement tous les blogs
sont des applications "Web 2.0"
Il s'agit donc en fait plus d'un "usage" du web que
d'une nouvelle technologie en soit. Les outils sous jacents les plus
fréquemment rencontrés sont ceux qui rendent facile la présentation des données
(XML, CSS), agrémentent les présentations (support des contenus multi-média,
animation FLASH) et permettent une forte interaction (JavaScript). Dans ce
dernier domaine (interaction forte)
La sécurité du Web 2.0
D'un point de vue technologique, le "Web 2.0"
n'introduit pas vraiment de nouvelle vulnérabilité. Les sites "Web
2.0" sont donc sujets aux mêmes attaques que celles que l'on connaît pour
les sites web traditionnels; par exemple l'injection de code ou de données au
travers de techniques telles que le XML "poisoning", les "XSS"
(Cross-Site Scripting), le "CSRF" (Cross Site Request Forgering),
etc. (présentation [7])
Eventuellement ces failles de type XSS ou CSRF pourra par
contre avoir des conséquences plus graves dans un site AJAX que sur un site
traditionnel (présentation [4]). En effet, un site AJAX est souvent organisé
autour d'un petit nombre de pages web dont le contenu évolue sans que la page ne change, et chaque
page reste donc affiché longtemps (plus longtemps que sur un site traditionnel
qui utilise une navigation de page en page). Si une page AJAX est infectée,
l'infection dure alors plus longtemps, ce qui permet à l'attaquant d'effectuer
des actions plus élaborées.
Il a été noté enfin que certains environnements de
développement "Web 2.0" (présentation [4]) pouvaient induire des
vulnérabilités spécifiques. L'exemple mentionné au cours de la présentation est
le cas du "framework" GWT qui génère un code JavaScript non sûr.
En fait la véritable évolution (et révolution) du risque avec le Web 2.0 c'est le fait que cette technologie implique une participation active de l'utilisateur (présentation [1]). Les problèmes soulevés sont alors de type :
- la responsabilité des contenus (qui est responsable du contenu posté dans un espace coopératif, comment contrôler la légalité des contenus publiés),
- le vol d'identité et l'atteinte à la réputation (quelqu'un contribue en se faisant passer pour un autre),
- la manipulation de l'information.
Il s'agit donc là plus d'attaques techniques (informatiques) mais d'attaques visant l'individu à travers de l'outil "Web 2.0". Cet aspect est prédominant (et prend sa réelle dimension) avec le "Web 2.0", parce que le "Web 2.0" repose sur l'implication de l'individu.
Aspects juridiques du
Web 2.0 (présentation [2])
Des cas d'affaires judiciaires liées au Web 2.0 existent
déjà, et ils devraient se multiplier dans les années à venir. En effet, l'internet
"Web 2.0" a permis le développement d'entreprises légales
génératrices de profits (par exemple des sites de ventes aux enchères, des sites
de rencontres et de partages, etc...) et en cas d'escroquerie, l'utilisateur
victime sera de plus en plus tenté d'entreprendre des démarches judiciaires vers
ces entreprises pour obtenir réparation du préjudice subit. Toute la question
est alors de savoir si le fournisseur d'un service "Web 2.0" est
responsable de l'agissement des utilisateurs de ce service.
L'examen juridique montre que cette problématique soulève
beaucoup de questions et qu'il n'y a pas de réponse légale claire.
Face à ce flou, une des solutions est l'auto-régulation : il
est indispensable que les applications "Web 2.0" définissent
clairement les règles d'usage pour les services mis en place. Définir les
règles d'usage, informer l'utilisateur sur ces règles, et obtenir leurs
adhésions semblent aujourd'hui la meilleure garantie pour éviter que les limites
actuelles du droit (pénal ou civil) se retourne contre le fournisseur d'un
service Web 2.0.
Web 2.0 et
l'entreprise (présentation [3])
L'offre "Web 2.0" est devenue omni présente pour le grand public.
Mais qu'en est-il dans le monde de l'industrie ?
Le "Web 2.0" est aujourd'hui de plus en plus adopté comme un
outil de communication vers le grand public, ou vers les clients des entreprises.
Par exemple les "blogs" sont aujourd'hui un outils de marketing à
part entière.
Par contre, pour ce qui est d'offrir ces mêmes outils aux
salariés de l'entreprise, la réponse est plus contrastée.
Certaines entreprises ont fait le choix d'encourager leurs
salariés à participer (en tant que salarié) au "Web 2.0". Microsoft est un exemple
d'une telle initiative, puisque Microsoft encourage ses salariés à mettre en
place des blogs sur leurs domaines d'expertises. Si cette démarche peut être
productive pour l'entreprise en terme d'image de savoir faire, elle peut aussi
avoir des effets dévastateurs (par exemple dans le cas d'une fuite accidentelle
d'information sur le retard dans la sortie d'un produit). D'autres entreprises
interdisent formellement à ses salariés ce type de démarche (par exemple
"Google").
Il y a eu également plusieurs témoignages d'entreprises qui
ont des démarches pour mettre en place en interne des outils "Web
2.0" (par exemple un "système documentaire collaboratif", ou une
"messagerie instantanée"). De façon globale, ces initiatives se font
de façon très progressives et contrôlée, pour trouver un équilibre entre la
dynamique qu'elles créent dans l'entreprise et les risques évoqués ci-dessus
(par exemple le risque lié à la responsabilité sur les contenus).
Web 2.0 et les
infrastructures réseaux des opérateurs Internet (présentation [5])
Le dernier aspect abordé lors de la JSSI 2007 était celui de
l'impact du "Web 2.0" sur les infrastructures Internet.
Il s'avère que comme "Web 2.0" est une évolution
qui concerne le contenu des sites web, cela n'a pas d'impact sur le transport
(et donc sur les infrastructures de transport). De façon plus anecdotique, le
"Web 2.0" peut parfois entrainer des pics de flux vers des sites qui
n'étaient pas dimensionnés pour cela (phénomène quelquefois appelé "l'effet
Slashdot", où un site très réputé comme "www.slashdot.org", où
plusieurs autres blogs, se mettent à parler d'un site Internet très
intéressant, provoquant une soudaine explosion du nombre de visiteurs pour ce
site).
En fait, plutôt que le "Web 2.0", c'est la
migration vers les réseaux NGN (Next Generation Network) qui sont aujourd'hui
la préoccupation des opérateurs, et
Pour plus d'information :
- Site de
