Dans son étude "Hype Cycle for Web Computing 2012",datant du 1er août 2012, le Gartner annonce l'utilisation du langage HTML5 par l'ensemble de la population pour 2017.
Cette prédiction, due essentiellement à l'essor de la mobilité, soulève par ailleurs de nouvelles problématiques sécuritaires. Pour faire face à ces menaces, le Gartner recommande d'utiliser dès à présent des mesures de protection adaptées.
Prochaine révision majeure du format de données HTML, le langage HTML5 est en cours d'élaboration depuis maintenant plusieurs années. Le W3C* et le WHATWG** travaillent conjointement aux spécifications de ce langage, dont la finalité sera d'offrir aux applications web toujours plus de dynamisme et de qualité.
Bien que la finalisation des spécifications de ce langage ne soit officiellement prévue qu'en 2014, le W3C encourage dès à présent son utilisation afin d'en améliorer l'usage.
Très vite adopté par les développeurs d'applications Web, HTML5 connait un succès grandissant, principalement dû au fait qu'il permet de reproduire les caractéristiques habituellement proposées par les logiciels propriétaires (i.e. Flash, Silverlight, etc.).
Au programme des évolutions proposées, on notera particulièrement :
• Une mise en forme simplifiée et standardisée des pages Web
• L'optimisation de l'affichage selon la taille de l'écran
• L'intégration de pistes audio et vidéo sans technologie tierce
• Un stockage interne permettant de profiter de certaines applications web en mode "hors connexion"
• De nouvelles balises supportant la gestion de nombreux évènements Client
• Etc.
Outre le développement aisé de sites Web et d'applications mobiles, l'utilisation précoce d'HTML5 a également permis de mettre en évidence de nombreuses failles de sécurité...
En effet, les systèmes actuels de protection n'étant pas préparés aux nouvelles fonctionnalités proposées (et donc aux nouvelles structures syntaxiques), l'utilisation d'HTML5 a mis en évidence de nouvelles vulnérabilités.
De nombreuses recherches menées sur le sujet ont fait ressortir les possibilités d'attaques suivantes :
• Côté client
o L'injection de code malicieux ou de librairies corrompues dans le Cache Manifest (cache permettant aux applications de fonctionner hors ligne)
o Le Filejacking, vol de fichiers utilisant la balise file directory de l'API fichiers de HTML5
o L'accès non autorisé aux microphones, webcams et autres outils de géolocalisation
o La récupération de données sensibles (login, mot de passe, etc.) via les espaces de stockage local d'HTML5 (espaces mis à disposition des applications Web)
• Côté serveur
o La reviviscence d'attaques, telles les "cross-site requests", "cross-site scirpting" ou "html injection".
Pour répondre à ces nouvelles menaces, Bee Ware a développé une mise à jour complétant les règles de filtrage de la plate-forme de sécurité i-Suite.
L'ensemble des produits Bee Ware sont donc désormais protégés contre toute tentative visant à contourner, via les nouveaux éléments HTML5, les protections d'ores et déjà mises en place.
|
