RSA Security et Verisign se pré-occupent des services web. Ces deux grands noms de la sécurité ont profité du salon RSA Conference, qui se tenait à San Francisco à la mi-avril, pour annoncer des solutions pour la mise en oeuvre de services web sécurisés, conformes aux spécifications WS-Security d'Oasis (Organization for the Advancement of Structured Information Standards).

RSA BSAFE Secure-WS, un ensemble d'outils de développement pour les services web, comporte ainsi des extensions Soap (Simple Object Access Protocol) pour le chiffrement, la signature et l'intégrité des messages. Pour permettre une utilisation en environnement mobile, RSA a minimisé les ressources mémoire nécessaires. Les performances sont optimisées grâce à un fonctionnement en mode streaming : les fonctions de sécurité commencent à s'exécuter alors que le message Soap est encore en cours de réception. Le kit de développement prend en compte des types d'authentification variés, comme SAML et Kerberos. Cela en plus du support natif des méthodes classiques (identifiant et mot de passe, ou certificats X.509), que RSA gérera bientôt de manière unifiée. Ce sera l'objet du système de gestion des identités et des accès présenté sous le nom de code Nexus, qui, à terme, couvrira toute l'offre de l'éditeur. Verisign, lui, propose de déporter les fonctions de sécurité XML en amont des applications, déchargeant ainsi les programmeurs de la prise en compte des fonctions de sécurité. Pour cela, l'éditeur vient de lancer Trust Gateway, une passerelle qui gère la sécurité liée aux services web selon les règles définies par l'administrateur, via un navigateur. La solution est basée sur une architecture en deux parties. Un module logiciel contrôle la sécurité des applications. Il est préparamétré pour .Net et IBM Websphere, et des API permettent de créer des connecteurs pour les applications non basées sur XML. La seconde partie de la solution consiste en un service qui simplifie la gestion de certificats numériques, de la signature et du chiffrement des messages XML. Pour cela, Trust Gateway tire profit de la plate-forme PKI intégrée Managed PKI de Verisign.

Au niveau des standards, AVDL (Application Vulnerability Description Language) vise à standardiser les échanges d'informations concernant les vulnérabilités des applications dans des environnements hétérogènes. Un comité technique AVDL a été créé au sein du groupement Oasis. La validation du standard est prévue pour la fin de l'année. Par ailleurs, quasi simultanément à l'annonce d'AVDL par Oasis, la Liberty Alliance a publié un framework de fédération d'identités pour les services web (ID-WSF), dans le cadre de sa phase 2 (voir 01 Informatique n° 1720 du 18 avril).