Group items tagged

Wiki, RSS : les outils grand public arrivent en entreprise, les risques également L'entreprise n'échappe pas aux outils en vogue sur Internet. Ni aux risques qu'ils représentent. Le format RSS, par exemple, s'expose déjà à diverses attaques. Éric Hazane* et Renaud Édouard-Baraud , 01 Informatique (n° 1848), le 01/03/2006 à 14h47 L'usage des systèmes d'information tend vers le tout collaboratif (Wiki) et instantané (RSS et messageries instantanées). Les entreprises sont ainsi de plus en plus nombreuses à mettre en oeuvre les flux RSS, que ce soit pour leur intranet/extranet ou pour faciliter l'échange automatique d'informations entre applications (comme les services Web). D'autant que le nombre de logiciels qui tiennent compte de ces fils ne cesse de croître, à l'instar de la prochaine version de l'outil collaboratif libre Open-Xchange Server 5, attendue pour le mois de mars. Mais à nouvelles techniques, nouvelles failles, et nouveaux défis organisationnels. Ces technologies participent à l'augmentation du volume des flux et à celle, vertigineuse, de la masse des données stockées. Sans compter que les risques d'atteinte au patrimoine informationnel de l'entreprise restent élevés. « L'usage avéré (failles des Wikis ou des navigateurs) ou potentiel (RSS, VoIP) des bogues applicatifs apparaît marginal, mais loin d'être virtuel », rappelle Jérémy Renard, consultant pour l'agence sécurité de Sogeti. Encadrer la créativité sans l'étouffer Le format RSS peut, en effet, être abusé : écrit en XML, pointant vers des contenus HTML, il « embarque » la description de ces derniers. Sa souplesse permet d'inclure de nombreux objets, comme les scripts, directement interprétés par le lecteur dédié ou le navigateur. Parmi les attaques potentielles, on trouve aussi celle, antédiluvienne, de type iframe (faille I.E. 6 SP1 : erreur au niveau de la gestion des tags), la redirection sur une page piégée, l'exécution de code dans les fe