| Une question ?

Présentation

Article

1 - NOUVELLES QUESTIONS DE SÉCURITÉ POUR LE WEB ET LES MOBILES

2 - CONDITIONS D’UTILISATION DES APPAREILS MOBILES

  • 2.1 - Connexion intermittente au réseau
  • 2.2 - Communication dans un espace public
  • 2.3 - Des appareils dotés de possibilités inédites
  • 2.4 - Sécurité incertaine des infrastructures
  • 2.5 - Risque élevé de perte et de vol
  • 2.6 - Offre de logiciels non garantis
  • 2.7 - Faiblesse des protocoles
  • 2.8 - Droits et privilèges de l’utilisateur, débridage
  • 2.9 - Application incertaine des mises à jour de sécurité
  • 2.10 - Utilisation d’un MDM (Mobile Device Management)
  • 2.11 - Confusion des usages privés et professionnels

3 - PROBLÉMATIQUE AVPA (BYOD)

4 - TYPOLOGIE DES VULNÉRABILITÉS DES APPLICATIONS WEB ET MOBILES

5 - SÉCURITÉ DES NAVIGATEURS ET DES MOBILES

6 - FORCES ET FAIBLESSES DES LANGAGES ET SYSTÈMES UTILISÉS

7 - CONTENT MANAGEMENT SYSTEMS (CMS)

  • 7.1 - Drupal, Joomla, WordPress, Spip...
  • 7.2 - Les moteurs de Wiki

8 - MÉTHODES DE CONSTRUCTION D’APPLICATIONS

  • 8.1 - Android et iOS
  • 8.2 - Sur le Web

9 - ROBUSTESSE DES SYSTÈMES DE PUBLICATION

Article de référence | Réf : H3165 v1

Sécurité des navigateurs et des mobiles
Sécurité des applications Web et mobiles

Auteur(s) : Laurent BLOCH

Date de publication : 10 janv. 2017

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

En 22 ans le Web, son langage HTML et son protocole de transport http se sont transformés, ils étaient des moyens d’accéder à des documents statiques pour les consulter, ils sont devenus une interface universelle entre l’humain, les machines et les données. Le navigateur, organe de commande de cette interface, peut maintenant agir sur les données, tant du côté des serveurs et de leurs bases de données que du côté de la machine de l’utilisateur. Tous ces programmes peuvent communiquer entre eux et échanger des données, c’est l’ouverture de possibilités inimaginables au siècle dernier, mais aussi de risques inédits contre lesquels il faut se prémunir.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Safety of Web and Mobile Applications

For the last 22 years, the Web, its language HTML and its transport protocol HTTP have evolved from being simple tools to access and read static documents, to being a fully-fledged universal interface between humans, computers and data. The browser, the control device for this interface, can access and transform data, either on the server side, with its databases, or on the client side, the user’s computer. All these programs can exchange data. This evolution is opening up new possibilities that were unthinkable in the last century, but also creating new risks that require protective measures.

Auteur(s)

INTRODUCTION

La préhistoire de l’Internet remonte à 1969 mais son essor ne commence réellement qu’en 1984 avec l’adoption des protocoles TCP/IP et la séparation des réseaux militaire (MILNET) et scientifique (NSFNET). Internet a permis la généralisation des communications en réseau à l’échelle mondiale, mais ce sont le Web, son langage HTML, son protocole de transport HTTP, annoncés publiquement en 1991, et le premier navigateur NCSA Mosaic (1993) qui en ont permis l’essor dans le grand public, ce qui a soulevé des questions de sécurité inédites.

Depuis 1984, le Web, son langage HTML et son protocole de transport HTTP se sont transformés, ils étaient des moyens d’accéder à des documents statiques pour les consulter, ils sont devenus un connecteur universel entre l’humain, les machines et les données. Le navigateur Web devient par exemple l’interface standard des logiciels de gestion d’entreprise, ce qui évite d’avoir à déployer des « clients lourds » sur chaque poste de travail ; organe de commande de cette interface, il peut maintenant déclencher des actions sur les données, tant du côté des serveurs et de leurs bases de données que du côté de la machine de l’utilisateur. Tous ces programmes peuvent communiquer entre eux et échanger des données, c’est l’ouverture de possibilités inimaginables au siècle dernier, mais aussi de risques inédits contre lesquels il faut se prémunir.

Depuis sa naissance en 1991 et la généralisation de son usage par des centaines de millions d’internautes au tournant du siècle, le Web a connu des transformations considérables qui modifient radicalement les mesures à prendre pour en assurer la sécurité d’usage, que ce soit du côté des serveurs et des logiciels de gestion de contenu ou du côté du navigateur de l’internaute.

Avec le lancement du système Symbian en 1998 sur les téléphones mobiles Ericsson, Motorola et Nokia, ces appareils sont devenus de véritables ordinateurs, mais ce n’est qu’à partir du lancement de l’iPhone par Apple en 2007 que les téléphones accédèrent à l’Internet de plein pied, en ouvrant tous les usages du Web à leurs propriétaires, ce qui n’allait pas sans des risques nouveaux et la nécessité de mesures de sécurité adaptées à ce nouvel écosystème.

Ce sont les problèmes qui seront traités dans le présent article.

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

Computer   |   smartphone   |   internet   |   web   |   web and networks safety

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h3165

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(239 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Version en anglais En anglais

5. Sécurité des navigateurs et des mobiles

5.1 Complexité des pages Web

Le navigateur Web est devenu, pour le grand public et pour la majorité des utilisateurs d’informatique en général, le dispositif universel d’accès non seulement à l’Internet et à des systèmes tels que messagerie ou réseaux sociaux, mais aussi aux applications de gestion de l’entreprise, aux données de recherche, aux logiciels d’analyse des différentes disciplines scientifiques, au pilotage des réseaux, etc. La sûreté de fonctionnement des navigateurs est de ce fait un enjeu crucial de sécurité, cependant que sa richesse et sa complexité fonctionnelles ne cessent de croître.

Lors de l’invention du navigateur (NCSA Mosaic en 1993), son fonctionnement pouvait être représenté par le schéma de la figure 2 (Apache et Nginx n’existaient pas encore, nous les avons substitués à leur ancêtre de l’époque httpd pour une meilleure compréhension).

Dans le cas de pages statiques affichées par un logiciel simple confiné dans un espace mémoire contrôlé, assurer la sécurité pouvait sembler relativement simple. Mais presque aussitôt survint, côté serveur, la passerelle Common Gateway Interface (CGI) qui permettait au serveur Web d’invoquer des programmes externes potentiellement dangereux, selon le schéma de la figure 3 (Java était dans les limbes, PHP et NodeJS n’existaient pas encore, Perl tenait le premier rang pour ce genre d’usage).

La passerelle CGI allait connaître de nombreux perfectionnements, FastCGI en 1996, puis l’interprétation des programmes externes directement dans le logiciel serveur (souvent Apache) au moyen de modules dévolus aux langages populaires du Web, Perl d’abord, puis PHP, Python, etc.

HAUT DE PAGE

5.2 Programmation dans le navigateur

Mais la place accordée aux programmes Perl en tête du classement des risques liés au Web leur sera bientôt disputée par le langage JavaScript, au départ (1995) destiné à la programmation d’effets graphiques dans les pages Web, côté navigateur donc, mais qui permet aujourd’hui la construction d’applications complexes côté navigateur et côté serveur. Ce que l’on nomme Web 2.0 repose sur les possibilités...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(239 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Sécurité des navigateurs et des mobiles
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - ACATRINEI-ALDEA (T.) -   Le BYOD et le droit : le couple mal assorti.  -  MISC

  • (2) - BOUTHORS (M.) -   NAC, Firewall 3.0 ?,  -  MISC, numéro 66, mars 2013, Sélestat.

  • (3) - Wikipedia -   *  -  IEEE 802. https://fr.wikipedia.org/wiki/IEEE_802

  • (4) - GOURDIN (B.), ZHENG (O.) -   Cloisonnement Javascript, HTML5 à la rescousse. La sécurité des navigateurs.  -  MISC (mars 2015)

  • (5) - ARM -   ARM Security technology. Building a secure system using TrustZone® technology.  -  http://infocenter.arm.com/help/topic/com.arm.doc.prd29-genc-009492c/PRD29-GENC-009492C_trustzone_security_whitepaper.pdf (2009) .

  • (6) - SIBERT (H.) -   Le TEE, nouvelle ligne de -defense dans les mobiles.  -  https://www.-sstic.org/media/SSTIC2013/SSTIC-actes/conf_invit1_j3_2013/SSTIC2013-Slides-conf_invit1_j3_2013-sibert.pdf...

ANNEXES

  1. 1 Organisations
    1. 2 Entreprises
      1. 3 Normes

        1 Organisations

        OWASP – Open web application security project

        Https://www.owasp.org/index.php/main_page

        W3Techs – world wide web technology survey

        HAUT DE PAGE

        2 Entreprises

        Auth0 – fournisseur de services et de logiciels libres d’authentification unique

        Https://auth0.com

        HAUT DE PAGE

        3 Normes

        IEEE 802.11 - 2014 - spécifications pour l’implémentation de réseaux numériques locaux à liaison sans fil

        RFC5246 - 2008 - The Transport Layer Security (TLS) Protocol Version 1.2

        ITU T X.509 - 2016 - Technologies de l’information – Interconnexion des systèmes ouverts – L’annuaire : cadre général des certificats de clé publique et d’attribut

        RFC6454 - 2011 - The web origin concept

        HAUT DE PAGE

        Cet article est réservé aux abonnés.
        Il vous reste 93% à découvrir.

        Pour explorer cet article
        Téléchargez l'extrait gratuit

        Vous êtes déjà abonné ?Connectez-vous !

        L'expertise technique et scientifique de référence

        La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
        + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
        De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

        Cet article fait partie de l’offre

        Technologies logicielles Architectures des systèmes

        (239 articles en ce moment)

        Cette offre vous donne accès à :

        Une base complète d’articles

        Actualisée et enrichie d’articles validés par nos comités scientifiques

        Des services

        Un ensemble d'outils exclusifs en complément des ressources

        Un Parcours Pratique

        Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

        Doc & Quiz

        Des articles interactifs avec des quiz, pour une lecture constructive

        ABONNEZ-VOUS

        SUR LE MÊME SUJET

        #INFORMATIQUE (SECTEUR) #SMARTPHONE #SYSTÈME D'EXPLOITATION #TECHNOLOGIE WEB #SÉCURITÉ INFORMATIQUE

        DANS LES RESSOURCES DOCUMENTAIRES

        DANS L'ACTUALITÉ

        DANS LES LIVRES BLANCS

        DANS LES CONFÉRENCES EN LIGNE

        Inscription veille personnalisée