Georges Ou, de Digital Society, s’est livré à un petit test sécurité des différents services « Web 2.0 » les plus en vogue. De Flicker à Yahoo en passant par eBay, Amazon ou WordPress, Ou s’est notamment intéressé aux possibilités de détournement de session comme à celles d’usurpation totale de crédence. Et le résultat n’est pas franchement encourageant. Dans bien des cas, le « Sidejacking » (détournement de session par vol de cookies) est possible, alors que ce genre d’attaque est connu depuis des lustres et laissé à la portée d’un enfant de 10 ans. Rares sont les services, tels Gmail, eBay ou WordPress sous SSL, qui décrochent une bonne note. WordPress utilisé sans SSL, Twitter, Facebook arrivent, quant à eux, bons derniers du classement et doivent donc être considérés comme dangereux à utiliser. En ce qui concerne Yahoo Mail et Microsoft Hotmail, ils doivent être employés avec prudence (voire pas du tout), certains défauts d’architecture remontant pourtant à plus de trois ans.
Pour compléter le tableau, à fins de référence, l’auteur a effectué un rapide survol des protocoles d’échange les plus utilisés : Pop3, smtp, imap avec ou sans tunnel, ainsi que FTP en version originale ou améliorée SSL/TLS, le tout associé à une note de « fragilité » d’autant plus mauvaise que le protocole est « vintage ». Un rappel nécessaire car beaucoup oublie que c’est souvent dans ces vieux pots que se mitonnent les meilleurs soupes de propagation virale.
Cet article est à mettre entre toutes les mains. Si son entrée en matière peut paraître réservée aux habitués des techniques de protection, Sa suite explique en termes simples ce qu’est un détournement de session, une usurpation de compte, une authentification SSL etc. Article à imprimer, à traduire et à encadrer, en ces temps de louanges extatiques chantées à la plus grande gloire du Web 2.0, des services externalisés et des applications cloudifiées.