L'usage des systèmes d'information tend vers le tout collaboratif (Wiki) et instantané (RSS et messageries instantanées). Les entreprises sont ainsi de plus en plus nombreuses à mettre en oeuvre les flux RSS, que ce soit pour leur intranet/extranet ou pour faciliter l'échange automatique d'informations entre applications (comme les services Web). D'autant que le nombre de logiciels qui tiennent compte de ces fils ne cesse de croître, à l'instar de la prochaine version de l'outil collaboratif libre Open-Xchange Server 5, attendue pour le mois de mars.

Mais à nouvelles techniques, nouvelles failles, et nouveaux défis organisationnels. Ces technologies participent à l'augmentation du volume des flux et à celle, vertigineuse, de la masse des données stockées. Sans compter que les risques d'atteinte au patrimoine informationnel de l'entreprise restent élevés. « L'usage avéré (failles des Wikis ou des navigateurs) ou potentiel (RSS, VoIP) des bogues applicatifs apparaît marginal, mais loin d'être virtuel », rappelle Jérémy Renard, consultant pour l'agence sécurité de Sogeti.

Le format RSS peut, en effet, être abusé : écrit en XML, pointant vers des contenus HTML, il « embarque » la description de ces derniers. Sa souplesse permet d'inclure de nombreux objets, comme les scripts, directement interprétés par le lecteur dédié ou le navigateur.

Parmi les attaques potentielles, on trouve aussi celle, antédiluvienne, de type iframe (faille I.E. 6 SP1 : erreur au niveau de la gestion des tags), la redirection sur une page piégée, l'exécution de code dans les feuilles de style CSS, ou encore l'insertion de « Web bugs » (image de 1 pixel, invisible, qui enregistre le comportement d'un internaute sur une page donnée). Il est donc probable que les lecteurs RSS aient à faire face aux mêmes problèmes de sécurité que ceux rencontrés voilà quelques années par les messageries Internet (de type Hotmail).

La généralisation de protocoles de cryptage comme SSL/TLS, de flux VPN, de serveurs de courriers sécurisés (IMAPS, SMTPS) ou d'annuaires sécurisés (LDAPS) doivent aider en principe à établir la disponibilité, l'intégrité et la confidentialité des données.

En parallèle, clients et prestataires doivent rapidement faire évoluer la gestion opérationnelle des projets : la production documentaire et contractuelle (études, spécifications, livrables, comptes rendus, etc.) se décentralise. Sans étouffer les initiatives, les chefs de projet doivent éviter tous débordements. Car nul ne sait où peut mener l'expression complète de la « créativité » dans un projet sans garde-fous humains, ni dispositifs techniques sécurisés ?

* consultant sécurité chez Sogeti