Inscrivez-vous gratuitement à la Newsletter BFM Business
Contre toute attente, Ajax, la plate-forme applicative caractéristique des sites du Web 2.0, souffre d'une faille de sécurité. Brian Chess, consultant chez Fortify Software, la dénonce dans le rapport ' JavaScript Hijacking ' (détournement de JavaScript). Selon ce rapport, le problème se situe dans la possibilité de détourner une communication entre un internaute et un site Web 2.0 sans qu'aucun des deux ne s'en rende compte. Cette faille est imputable à l'absence de verrou dans le format d'échange de données JSON (JavaScript Object Notation) qu'utilise le langage JavaScript.
Des risques réels, mais faciles à éviter
Louis Nyffenegger, du cabinet Hervé Schauer Consultants, décrit ainsi le type d'attaques que permet cette faille : ' La plupart des applications web ne vérifient pas qu'une requête est effectivement réalisée par un utilisateur. Un individu malintentionné peut ainsi faire générer à un visiteur de son site une requête arbitraire vers un autre site sans qu'il s'en rende compte et récupérer des données critiques en se servant des cookies de cet utilisateur. L'attaque s'amorce soit à partir d'une campagne de hameçonnage qui tente d'amener un utilisateur sur un site contrefait, soit depuis un site malveillant que consulte cet utilisateur. Celui qui ne visite que des sites légitimes avec une navigation sécurisée ne risque rien. ' Selon lui, de telles attaques pourraient avoir de graves conséquences, notamment entre un commerçant et sa banque en ligne, mais les développeurs d'applications Ajax ont des moyens triviaux de les éviter : ' L'application doit s'assurer de l'unicité et de la provenance de la requête. Le plus simple consiste à demander au serveur de générer un grand nombre aléatoire qu'il échangera avec le client à des fins dauthentification. '
Votre opinion