Présentation
RÉSUMÉ
En 22 ans le Web, son langage HTML et son protocole de transport http se sont transformés, ils étaient des moyens d’accéder à des documents statiques pour les consulter, ils sont devenus une interface universelle entre l’humain, les machines et les données. Le navigateur, organe de commande de cette interface, peut maintenant agir sur les données, tant du côté des serveurs et de leurs bases de données que du côté de la machine de l’utilisateur. Tous ces programmes peuvent communiquer entre eux et échanger des données, c’est l’ouverture de possibilités inimaginables au siècle dernier, mais aussi de risques inédits contre lesquels il faut se prémunir.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Laurent BLOCH : Chercheur en Cyberstratégie, Paris
INTRODUCTION
La préhistoire de l’Internet remonte à 1969 mais son essor ne commence réellement qu’en 1984 avec l’adoption des protocoles TCP/IP et la séparation des réseaux militaire (MILNET) et scientifique (NSFNET). Internet a permis la généralisation des communications en réseau à l’échelle mondiale, mais ce sont le Web, son langage HTML, son protocole de transport HTTP, annoncés publiquement en 1991, et le premier navigateur NCSA Mosaic (1993) qui en ont permis l’essor dans le grand public, ce qui a soulevé des questions de sécurité inédites.
Depuis 1984, le Web, son langage HTML et son protocole de transport HTTP se sont transformés, ils étaient des moyens d’accéder à des documents statiques pour les consulter, ils sont devenus un connecteur universel entre l’humain, les machines et les données. Le navigateur Web devient par exemple l’interface standard des logiciels de gestion d’entreprise, ce qui évite d’avoir à déployer des « clients lourds » sur chaque poste de travail ; organe de commande de cette interface, il peut maintenant déclencher des actions sur les données, tant du côté des serveurs et de leurs bases de données que du côté de la machine de l’utilisateur. Tous ces programmes peuvent communiquer entre eux et échanger des données, c’est l’ouverture de possibilités inimaginables au siècle dernier, mais aussi de risques inédits contre lesquels il faut se prémunir.
Depuis sa naissance en 1991 et la généralisation de son usage par des centaines de millions d’internautes au tournant du siècle, le Web a connu des transformations considérables qui modifient radicalement les mesures à prendre pour en assurer la sécurité d’usage, que ce soit du côté des serveurs et des logiciels de gestion de contenu ou du côté du navigateur de l’internaute.
Avec le lancement du système Symbian en 1998 sur les téléphones mobiles Ericsson, Motorola et Nokia, ces appareils sont devenus de véritables ordinateurs, mais ce n’est qu’à partir du lancement de l’iPhone par Apple en 2007 que les téléphones accédèrent à l’Internet de plein pied, en ouvrant tous les usages du Web à leurs propriétaires, ce qui n’allait pas sans des risques nouveaux et la nécessité de mesures de sécurité adaptées à ce nouvel écosystème.
Ce sont les problèmes qui seront traités dans le présent article.
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
DOI (Digital Object Identifier)
Présentation
Méthodes de construction d’applicationsArticle inclus dans l'offre
"Technologies logicielles Architectures des systèmes"
(236 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
7. Content Management Systems (CMS)
7.1 Drupal, Joomla, WordPress, Spip...
Drupal est développé depuis 2000 avec une première version publiée en janvier 2001. Wordpress est distribué depuis mai 2003. Joomla est issu en 2005 d’une révolte des développeurs du système Mambo, dont le propriétaire du nom voulait se réserver, sinon le monopole, du moins la notoriété. Spip (Système de publication pour l’Internet) est un logiciel libre développé en France, à l’origine pour le site du journal Le Monde diplomatique, et diffusé depuis 2001.
Ces quatre logiciels destinés à la publication sur le Web (on pourrait en citer bien d’autres) reposent sur une architecture similaire :
-
Les données à publier sont enregistrées dans une base de données (le plus souvent MySQL, même si d’autres choix sont possibles). Signalons que la position de MySQL est menacée par MariaDB, un clone créé par les développeurs qui craignent que le nouveau propriétaire de MySQL, Oracle, ne profite de sa position pour en altérer le caractère de logiciel libre ;
-
Le fonctionnement dynamique du site est programmé en PHP ;
-
Le serveur Web est le plus souvent Apache, même si ce n’est pas une obligation ;
-
Le serveur est souvent hébergé sur un système Linux, d’où l’acronyme LAMP, pour Linux-Apache-MySQL-PHP.
Ces systèmes de publication se ressemblent tous plus ou moins, ils permettent de créer assez rapidement des sites Web dynamiques sans avoir vraiment à programmer. La combinaison de code PHP et de feuilles de style CSS permet des variations de maquette à l’infini. Les contributeurs sont invités à développer des greffons (plugins), qui parfois étendent de façon intéressante les possibilités du système, mais qui peuvent aussi y introduire des vulnérabilités, notamment avec tout ce qui est animations graphiques dévoreuses de temps de calcul.
Le défi posé récemment à tous les CMS fut qu’ils deviennent adaptatifs (responsive), c’est-à-dire capables d’afficher leurs pages sur l’écran d’un smartphone de telle sorte qu’elles restent lisibles.
Outre les vulnérabilités qui risquent d’être introduites par des greffons d’origine et de qualité incertaines, tous les CMS souffrent des faiblesses intrinsèques de PHP déjà mentionnées. MySQL n’est pas non plus...
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
Content Management Systems (CMS)
Article inclus dans l'offre
"Technologies logicielles Architectures des systèmes"
(236 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - ACATRINEI-ALDEA (T.) - Le BYOD et le droit : le couple mal assorti. - MISC
-
(2) - BOUTHORS (M.) - NAC, Firewall 3.0 ?, - MISC, numéro 66, mars 2013, Sélestat.
-
(3) - Wikipedia - * - IEEE 802. https://fr.wikipedia.org/wiki/IEEE_802
-
(4) - GOURDIN (B.), ZHENG (O.) - Cloisonnement Javascript, HTML5 à la rescousse. La sécurité des navigateurs. - MISC (mars 2015)
-
(5) - ARM - ARM Security technology. Building a secure system using TrustZone® technology. - http://infocenter.arm.com/help/topic/com.arm.doc.prd29-genc-009492c/PRD29-GENC-009492C_trustzone_security_whitepaper.pdf (2009) .
-
(6) - SIBERT (H.) - Le TEE, nouvelle ligne de -defense dans les mobiles. - https://www.-sstic.org/media/SSTIC2013/SSTIC-actes/conf_invit1_j3_2013/SSTIC2013-Slides-conf_invit1_j3_2013-sibert.pdf...
ANNEXES
OWASP – Open web application security project
Https://www.owasp.org/index.php/main_page
W3Techs – world wide web technology survey
HAUT DE PAGE
Auth0 – fournisseur de services et de logiciels libres d’authentification unique
HAUT DE PAGE
IEEE 802.11 - 2014 - spécifications pour l’implémentation de réseaux numériques locaux à liaison sans fil
RFC5246 - 2008 - The Transport Layer Security (TLS) Protocol Version 1.2
ITU T X.509 - 2016 - Technologies de l’information – Interconnexion des systèmes ouverts – L’annuaire : cadre général des certificats de clé publique et d’attribut
RFC6454 - 2011 - The web origin concept
HAUT DE PAGE
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Technologies logicielles Architectures des systèmes"
(236 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
