Présentation
En anglaisRÉSUMÉ
En 22 ans le Web, son langage HTML et son protocole de transport http se sont transformés, ils étaient des moyens d’accéder à des documents statiques pour les consulter, ils sont devenus une interface universelle entre l’humain, les machines et les données. Le navigateur, organe de commande de cette interface, peut maintenant agir sur les données, tant du côté des serveurs et de leurs bases de données que du côté de la machine de l’utilisateur. Tous ces programmes peuvent communiquer entre eux et échanger des données, c’est l’ouverture de possibilités inimaginables au siècle dernier, mais aussi de risques inédits contre lesquels il faut se prémunir.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
For the last 22 years, the Web, its language HTML and its transport protocol HTTP have evolved from being simple tools to access and read static documents, to being a fully-fledged universal interface between humans, computers and data. The browser, the control device for this interface, can access and transform data, either on the server side, with its databases, or on the client side, the user’s computer. All these programs can exchange data. This evolution is opening up new possibilities that were unthinkable in the last century, but also creating new risks that require protective measures.
Auteur(s)
-
Laurent BLOCH : Chercheur en Cyberstratégie, Paris
INTRODUCTION
La préhistoire de l’Internet remonte à 1969 mais son essor ne commence réellement qu’en 1984 avec l’adoption des protocoles TCP/IP et la séparation des réseaux militaire (MILNET) et scientifique (NSFNET). Internet a permis la généralisation des communications en réseau à l’échelle mondiale, mais ce sont le Web, son langage HTML, son protocole de transport HTTP, annoncés publiquement en 1991, et le premier navigateur NCSA Mosaic (1993) qui en ont permis l’essor dans le grand public, ce qui a soulevé des questions de sécurité inédites.
Depuis 1984, le Web, son langage HTML et son protocole de transport HTTP se sont transformés, ils étaient des moyens d’accéder à des documents statiques pour les consulter, ils sont devenus un connecteur universel entre l’humain, les machines et les données. Le navigateur Web devient par exemple l’interface standard des logiciels de gestion d’entreprise, ce qui évite d’avoir à déployer des « clients lourds » sur chaque poste de travail ; organe de commande de cette interface, il peut maintenant déclencher des actions sur les données, tant du côté des serveurs et de leurs bases de données que du côté de la machine de l’utilisateur. Tous ces programmes peuvent communiquer entre eux et échanger des données, c’est l’ouverture de possibilités inimaginables au siècle dernier, mais aussi de risques inédits contre lesquels il faut se prémunir.
Depuis sa naissance en 1991 et la généralisation de son usage par des centaines de millions d’internautes au tournant du siècle, le Web a connu des transformations considérables qui modifient radicalement les mesures à prendre pour en assurer la sécurité d’usage, que ce soit du côté des serveurs et des logiciels de gestion de contenu ou du côté du navigateur de l’internaute.
Avec le lancement du système Symbian en 1998 sur les téléphones mobiles Ericsson, Motorola et Nokia, ces appareils sont devenus de véritables ordinateurs, mais ce n’est qu’à partir du lancement de l’iPhone par Apple en 2007 que les téléphones accédèrent à l’Internet de plein pied, en ouvrant tous les usages du Web à leurs propriétaires, ce qui n’allait pas sans des risques nouveaux et la nécessité de mesures de sécurité adaptées à ce nouvel écosystème.
Ce sont les problèmes qui seront traités dans le présent article.
KEYWORDS
Computer | smartphone | internet | web | web and networks safety
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(238 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Conditions d’utilisation des appareils mobiles
La généralisation de l’usage d’appareils mobiles pour accéder au Web pose un certain nombre de problèmes inédits aux auteurs de logiciels et aux responsables de sécurité, du fait de conditions d’utilisation particulières que nous allons énumérer ci-dessous, pour y revenir plus en détail plus loin.
2.1 Connexion intermittente au réseau
La connexion de l’appareil au réseau est intermittente, elle est établie en des endroits variables, ce qui a pour conséquence la variabilité des adresses réseau et des trajets suivis par les communications. Il en résulte :
-
la perte de la traçabilité des communications ;
-
la perte de la possibilité d’identifier un appareil (ou tout au moins sa position) par son adresse réseau.
2.2 Communication dans un espace public
Les communications sont observables par des tiers, puisqu’elles empruntent l’espace public atmosphérique. Si elles doivent rester confidentielles, elles doivent donc être chiffrées, ce qui a un coût en termes de débit des voies de communication et, surtout, en termes de complexité pour l’utilisateur. En effet :
-
soit le chiffrement est effectué par l’opérateur de télécommunications, mais alors celui-ci (c’est-à-dire ses employés, sous-traitants, stagiaires...) a accès au contenu confidentiel ;
-
soit le chiffrement est de bout en bout, et alors l’émetteur et le destinataire de la communication doivent être équipés de dispositifs de chiffrement et savoir s’en servir, ce qui n’a rien d’évident.
2.3 Des appareils dotés de possibilités inédites
Les appareils mobiles (essentiellement smartphones) sont dotés de fonctions auxquelles les informaticiens ne sont pas habitués :
-
système radio (baseband) ;
-
accès aux réseaux sans-fil 4G, Wi-Fi et Bluetooth ;
-
téléphonie ;
-
affichage et graphismes ;
-
géolocalisation ;
-
son,...
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(238 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Conditions d’utilisation des appareils mobiles
BIBLIOGRAPHIE
-
(1) - ACATRINEI-ALDEA (T.) - Le BYOD et le droit : le couple mal assorti. - MISC
-
(2) - BOUTHORS (M.) - NAC, Firewall 3.0 ?, - MISC, numéro 66, mars 2013, Sélestat.
-
(3) - Wikipedia - * - IEEE 802. https://fr.wikipedia.org/wiki/IEEE_802
-
(4) - GOURDIN (B.), ZHENG (O.) - Cloisonnement Javascript, HTML5 à la rescousse. La sécurité des navigateurs. - MISC (mars 2015)
-
(5) - ARM - ARM Security technology. Building a secure system using TrustZone® technology. - http://infocenter.arm.com/help/topic/com.arm.doc.prd29-genc-009492c/PRD29-GENC-009492C_trustzone_security_whitepaper.pdf (2009) .
-
(6) - SIBERT (H.) - Le TEE, nouvelle ligne de -defense dans les mobiles. - https://www.-sstic.org/media/SSTIC2013/SSTIC-actes/conf_invit1_j3_2013/SSTIC2013-Slides-conf_invit1_j3_2013-sibert.pdf...
ANNEXES
OWASP – Open web application security project
Https://www.owasp.org/index.php/main_page
W3Techs – world wide web technology survey
HAUT DE PAGE
Auth0 – fournisseur de services et de logiciels libres d’authentification unique
HAUT DE PAGE
IEEE 802.11 - 2014 - spécifications pour l’implémentation de réseaux numériques locaux à liaison sans fil
RFC5246 - 2008 - The Transport Layer Security (TLS) Protocol Version 1.2
ITU T X.509 - 2016 - Technologies de l’information – Interconnexion des systèmes ouverts – L’annuaire : cadre général des certificats de clé publique et d’attribut
RFC6454 - 2011 - The web origin concept
HAUT DE PAGECet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(238 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive