Discussion :

[Hinault Romaric]

« HTML5 va créer de nombreuses occasions pour les cybercriminels »
selon un chercheur en sécurité de Trend Micro

HTML5, le futur standard du Web qui tend à mettre fin à l’utilisation des plug-ins comme Flash ou Silverlight va également ouvrir la voie à une nouvelle génération de malwares.

La norme déjà largement adoptée par les éditeurs de navigateurs et les outils de création va créer de nombreuses occasions pour les cybercriminels, selon Robert McArdle, un chercheur en sécurité senior pour Trend Micro.

Lors de sa Keynote pendant la conférence B-Sides de Londres sur la sécurité, McArdle a expliqué comment la norme pourrait être utilisée pour lancer des attaques à partir du navigateur.

La plupart des scénarios d’attaque présentés par l’expert en sécurité utilisent le JavaScript pour créer des botnets résidants en mémoire pouvant envoyer des Spams, lancer des attaques par déni de service ou pire.

De plus, HTML5 donnera une plus grande ouverture aux pirates. Parce que les attaques seront basées sur le navigateur, n’importe quel script malveillant pourra donc s’exécuter autant sur des ordinateurs Mac OS X que sur des smartphones Android ou tout autre système d’exploitation.

McArdle déclare par ailleurs que le code JavaScript malveillant est très facile à masquer, afin de contourner assez simplement les passerelles réseau, et les attaques HTTP basées sur le langage passent également facilement à travers la plupart des pare-feu.

Néanmoins, McArdle voit en HTML5 une plateforme ayant bien plus d’avantages que d’inconvénients. « Les bonnes choses en HTML5 l’emportent sur les mauvaises. Nous n’avons pas encore vu des utilisations malveillantes du standard, mais il est bon de penser à l’avance à développer des défenses » conclut McArdle.


les scénarios d'attaques HTML5

Source : conférence B-Sides, Billet de Robert McArdle sur la sécurité de HTML5


Et vous ?

Qu'en pensez-vous ?

[Loceka]

Et il a expliqué en quoi ces attaques javascript étaient possibles en HTML 5 et pas en 4 ?

Parce que pour moi, si le point faible c'est javascript, ces attaques devraient être aussi efficace actuellement que dans la nouvelle version de HTML.

[rambc]

Très bonne remarque !!!

[MiaowZedong]

En même temps, ce n'est pas comme si Flash n'a jamais eu de failles

[Thibaut Marmin]

Quand on parle d'HTML5 en général on parle aussi des nouveautés javascript

[DonQuiche]

En même temps, ce n'est pas comme si Flash n'a jamais eu de failles

Oui mais le Flash ça se bloque sans que ce soit gênant. Dans cinq ans bloquer le canvas reviendra à bloquer les trois quarts du contenu html.

[Thes32]

Et il a expliqué en quoi ces attaques javascript étaient possibles en HTML 5 et pas en 4 ?

Parce que pour moi, si le point faible c'est javascript, ces attaques devraient être aussi efficace actuellement que dans la nouvelle version de HTML.

Oui mais le Javascript est beaucoup plus développé qu'en 4, les nouvelles fonctionnalités comme le web offline, local storage, local file access par exemple...

[Invité]

Selon moi, et ce n'est qu'un avis personnel, si l'on n'y prend pas garde, on va se retrouver au même point qu'à la fin des années 90 avec des pages Web qui commençaient à devenir plus riches mais présentaient beaucoup plus de risques d'exploitation de failles.

Quand on voit par exemple les API qui seraient possibles en HTML5 comme l'accès aux fichiers, les développeurs se doivent d'être extrêmement prudents. Et vu qu'aujourd'hui, la mode est à l'intégration de services (Facebook pour ne citer que lui), on s'expose à des risques de failles qui proviennent non pas de son site, mais des autres aussi.

Je suis donc assez méfiant envers tout ce buzz qui entoure le HTML5 et j'espère que les considérations sur la sécurité sont aussi à l'ordre du jour au lieu d'un tapage plutôt "marketing" (on voit déjà des termes ridicules comme "Web 3.0").

[Freem]

(on voit déjà des termes ridicules comme "Web 3.0").

J'ai pas encore croisé ce terme, mais si jamais je le croise, je pense que je ne pourrai y répondre qu'avec mon pote cynisme...
Le web "2.0" me blase de plus en plus, et je m'aperçois que la plupart des informations utiles que j'arrive à récupérer se trouvent sur des sites classiques dont le type existant avant l'avènement de ce fichu 2.0 comme les forums.

Le web moderne me semble de plus en plus plastifié et pré-digéré, avec le fameux effet "bulle" dont certains parlent. Un bel exemple de ce nouveau "web" est la refonte de jamendo que j'ai découverte il y 3 jours. Un site qui était relativement accessible (quoiqu'avec quelques légers bugs tout de même) et sobre est devenu inutilisable, lent, lourd et "joli" (question de goût, mais perso, j'aime pas).
On le dirait "optimisé" pour les tablettes en fait.

Bon, le sujet n'est pas cette refonte, mais je trouve que c'est un magnifique exemple de ce qui se fait de plus en plus.
A moins que je ne sois le seul à trouver plus dommageable qu'autre chose cette propension à alourdir les pages pour d'inutiles effets graphiques...

PS: avant de vouloir sortir des standards pour augmenter les fonctionnalités, je me demande si ça ne serait pas mieux d'avoir plus de sites qui respectent l'existant? Parce que sinon ça donne ce genre de résultats au validateur ou plutôt, manque de résultats...

PPS: désolé pour le post qui fait très "coup de gueule"

[rhludovic]

Les bonnes choses en HTML5 l’emportent sur les mauvaises

C'est une conclusion qui convient parfaitement. Je pense que les problèmes qui ont été évoqués et exposés ne sont que des avertissements pour les développeurs.
Un message qui dit simplement de prendre en compte les mesures de sécurité face aux nombreuses nouveautés du HTML5. C'est vrai que lorsqu'on découvre de nouveaux outils, il y a des développeurs qui se pressent de les utiliser sans faire suffisamment attention.
C'est donc une façon de ne pas refaire les mêmes erreurs du passé essayant de prévoir les problèmes au lieu de rectifier après coups.

[Flaburgan]

J'ai pas encore croisé ce terme, mais si jamais je le croise, je pense que je ne pourrai y répondre qu'avec mon pote cynisme...

On utilise le terme Web 3.0 pour parler du web sémantique (ou web de données)

[abriotde]

HTML5 cré des failels de sécurité car il permet beaucoup de chose complex comme la crétion de websocket, de base de donnée local... bref tout ce qu'il faut pour faire un logiciel qui communique avec l'extérieur alors qu'avant il falait pénétré le système pour faire ce genre de chose javascript ne permettait pas de faire grand chose (à part des opérations arythmétique / et une modification visuel de la page).

Par contre HTML5 va concentrer les potentiels faille dans le navigateurs qui est plus facilement à jour que flash / java et autres.

Il permet de répondre à un besoin tout en simplifiant la vie.

[xbretzel]

J'admire toute la complexité la richesse et le potentiel des applications WEB (libs javascript, html4/5/6 etc...).

Je ne suis pas un développeur au niveau web - donc ignorant de ce monde. Mais je connais quelques librairies comme JQuery(-UI) et PrototypeJS ansi que les bases du principe AJAX.

Depuis l'existence même du WEB riche - lire: AJAX, Modèle contrôleur-view etc.. Il semble que la sécurité est rendue tellement lourde, et que le navigateur( ses sous-API exécutables ) des mobiles, tablettes et 'desktops' en a pris une trop grande place et ses responsabilités deviennent trop grandes. Si ce ne sont pas les navigateurs, ce sont les protocoles, toujours en javascript ou html AJAX sous la plateforme.

Même .NET avec VBScript(.NET), client-C#, client-ASP(.NET) se transforment tous en javascript sous le navigateur (DLL de iExplorer entres autres) en finale!

Pour la simple raison que le serveur 'distant' utilise et ne 'parle' qu'en 'HTML'

D'une part, je m'en réjoui puisque je suis en plein développement d'un système intranet/extranet qui n'utilise aucuns protocoles html/ajax/js. C'est du pure C/C++ ayant son propre protocole de communication dans la couche application de TCP/IP.

D'autre part, je ne peux qu'être vraiment déçu et désillusionné de constater que toute cette beauté riche du web soit si fragile, mais surtout que l'humanité est capable d'être si créatrice dans le crime. Je ne serais pas surpris d'apprendre que des grandes corporations soient derrière des 'spams', crackers, et autres contrats de vols d'informations sous l'espoinage indutriel, etc..

Allez, bon codage en C/C++ et soyez prudents!!!

Merci d'être indulgent envers mon français

[Inazo]

Bonjour,

je vous invite aussi à lire ceci : 2011 02-07-html5-security-v1@@AMEPARAM@@ssplayer2.swf?doc=2011-02-07-html5-security-v1-120208093825-phpapp02&stripped_title=2011-0207html5securityv1@@AMEPARAM@@2011-02-07-html5-security-v1-120208093825-phpapp02@@AMEPARAM@@2011-0207html5securityv1

Une présentation sur HTML 5 et la sécurité, on apprend des choses intéressantes qui rejoignent l'idée que HTML 5 va faciliter certaines attaquent et laisser la possibilité d'en créer de nouvelles (sur du full JS).

Cordialement,

[Gluups]

C'est quoi le web sémantique ?

[parrot]

L'évolution vers HTML5 me parait irrévocable. En tout cas dans ma boite, la pression pour introduire des applications HTML5 est forte. Et ce, malgré que la stratégie proclamée est plutôt restrictive pour ce qui concerne les nouvelles technologies.

Le fait que HTML5 est souvent lié aux tablettes et autres mobiles n'est certainement pas étranger à l'engouement pour HTML5. Ce nouveau standard profite de la vague de l'iPad, même s'il n'y a aucun lien entre eux!

Quant à l'aspect sécurité, il est évidemment inquiétant. Ce d'autant que certaines nouvelles possibilités, comme l'accès à d'autre domaines ou le stockage local, n'est pas forcément utilisés dans toutes les applications. Il faudrait que les navigateurs permettent de conserver ces contraintes, et de les lever seulement avec l'accord de l'utilisateur.