« HTML5 va créer de nombreuses occasions pour les cybercriminels »
Selon un chercheur en sécurité de Trend Micro

Le , par Hinault Romaric, Responsable .NET
HTML5, le futur standard du Web qui tend à mettre fin à l’utilisation des plug-ins comme Flash ou Silverlight va également ouvrir la voie à une nouvelle génération de malwares.

La norme déjà largement adoptée par les éditeurs de navigateurs et les outils de création va créer de nombreuses occasions pour les cybercriminels, selon Robert McArdle, un chercheur en sécurité senior pour Trend Micro.

Lors de sa Keynote pendant la conférence B-Sides de Londres sur la sécurité, McArdle a expliqué comment la norme pourrait être utilisée pour lancer des attaques à partir du navigateur.

La plupart des scénarios d’attaque présentés par l’expert en sécurité utilisent le JavaScript pour créer des botnets résidants en mémoire pouvant envoyer des Spams, lancer des attaques par déni de service ou pire.

De plus, HTML5 donnera une plus grande ouverture aux pirates. Parce que les attaques seront basées sur le navigateur, n’importe quel script malveillant pourra donc s’exécuter autant sur des ordinateurs Mac OS X que sur des smartphones Android ou tout autre système d’exploitation.

McArdle déclare par ailleurs que le code JavaScript malveillant est très facile à masquer, afin de contourner assez simplement les passerelles réseau, et les attaques HTTP basées sur le langage passent également facilement à travers la plupart des pare-feu.

Néanmoins, McArdle voit en HTML5 une plateforme ayant bien plus d’avantages que d’inconvénients. « Les bonnes choses en HTML5 l’emportent sur les mauvaises. Nous n’avons pas encore vu des utilisations malveillantes du standard, mais il est bon de penser à l’avance à développer des défenses » conclut McArdle.

les scénarios d'attaques HTML5

Source : conférence B-Sides, Billet de Robert McArdle sur la sécurité de HTML5

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Loceka Loceka - Expert confirmé https://www.developpez.com
le 27/04/2012 à 17:38
Et il a expliqué en quoi ces attaques javascript étaient possibles en HTML 5 et pas en 4 ?

Parce que pour moi, si le point faible c'est javascript, ces attaques devraient être aussi efficace actuellement que dans la nouvelle version de HTML.
Avatar de rambc rambc - Membre expérimenté https://www.developpez.com
le 27/04/2012 à 19:33
Très bonne remarque !!!
Avatar de MiaowZedong MiaowZedong - Membre émérite https://www.developpez.com
le 27/04/2012 à 20:59
En même temps, ce n'est pas comme si Flash n'a jamais eu de failles
Avatar de Thibaut Marmin Thibaut Marmin - Membre à l'essai https://www.developpez.com
le 27/04/2012 à 21:36
Quand on parle d'HTML5 en général on parle aussi des nouveautés javascript
Avatar de DonQuiche DonQuiche - Expert confirmé https://www.developpez.com
le 28/04/2012 à 7:48
Citation Envoyé par MiaowZedong  Voir le message
En même temps, ce n'est pas comme si Flash n'a jamais eu de failles

Oui mais le Flash ça se bloque sans que ce soit gênant. Dans cinq ans bloquer le canvas reviendra à bloquer les trois quarts du contenu html.
Avatar de Thes32 Thes32 - Expert confirmé https://www.developpez.com
le 28/04/2012 à 21:48
Citation Envoyé par Loceka  Voir le message
Et il a expliqué en quoi ces attaques javascript étaient possibles en HTML 5 et pas en 4 ?

Parce que pour moi, si le point faible c'est javascript, ces attaques devraient être aussi efficace actuellement que dans la nouvelle version de HTML.

Oui mais le Javascript est beaucoup plus développé qu'en 4, les nouvelles fonctionnalités comme le web offline, local storage, local file access par exemple...
Avatar de Squeak Squeak - Membre habitué https://www.developpez.com
le 28/04/2012 à 22:37
Selon moi, et ce n'est qu'un avis personnel, si l'on n'y prend pas garde, on va se retrouver au même point qu'à la fin des années 90 avec des pages Web qui commençaient à devenir plus riches mais présentaient beaucoup plus de risques d'exploitation de failles.

Quand on voit par exemple les API qui seraient possibles en HTML5 comme l'accès aux fichiers, les développeurs se doivent d'être extrêmement prudents. Et vu qu'aujourd'hui, la mode est à l'intégration de services (Facebook pour ne citer que lui), on s'expose à des risques de failles qui proviennent non pas de son site, mais des autres aussi.

Je suis donc assez méfiant envers tout ce buzz qui entoure le HTML5 et j'espère que les considérations sur la sécurité sont aussi à l'ordre du jour au lieu d'un tapage plutôt "marketing" (on voit déjà des termes ridicules comme "Web 3.0").
Avatar de Freem Freem - Membre émérite https://www.developpez.com
le 29/04/2012 à 23:25
Citation Envoyé par Squeak  Voir le message
(on voit déjà des termes ridicules comme "Web 3.0").

J'ai pas encore croisé ce terme, mais si jamais je le croise, je pense que je ne pourrai y répondre qu'avec mon pote cynisme...
Le web "2.0" me blase de plus en plus, et je m'aperçois que la plupart des informations utiles que j'arrive à récupérer se trouvent sur des sites classiques dont le type existant avant l'avènement de ce fichu 2.0 comme les forums.

Le web moderne me semble de plus en plus plastifié et pré-digéré, avec le fameux effet "bulle" dont certains parlent. Un bel exemple de ce nouveau "web" est la refonte de jamendo que j'ai découverte il y 3 jours. Un site qui était relativement accessible (quoiqu'avec quelques légers bugs tout de même) et sobre est devenu inutilisable, lent, lourd et "joli" (question de goût, mais perso, j'aime pas).
On le dirait "optimisé" pour les tablettes en fait.

Bon, le sujet n'est pas cette refonte, mais je trouve que c'est un magnifique exemple de ce qui se fait de plus en plus.
A moins que je ne sois le seul à trouver plus dommageable qu'autre chose cette propension à alourdir les pages pour d'inutiles effets graphiques...

PS: avant de vouloir sortir des standards pour augmenter les fonctionnalités, je me demande si ça ne serait pas mieux d'avoir plus de sites qui respectent l'existant? Parce que sinon ça donne ce genre de résultats au validateur ou plutôt, manque de résultats...

PPS: désolé pour le post qui fait très "coup de gueule"
Avatar de rhludovic rhludovic - Membre actif https://www.developpez.com
le 30/04/2012 à 8:58
Les bonnes choses en HTML5 l’emportent sur les mauvaises

C'est une conclusion qui convient parfaitement. Je pense que les problèmes qui ont été évoqués et exposés ne sont que des avertissements pour les développeurs.
Un message qui dit simplement de prendre en compte les mesures de sécurité face aux nombreuses nouveautés du HTML5. C'est vrai que lorsqu'on découvre de nouveaux outils, il y a des développeurs qui se pressent de les utiliser sans faire suffisamment attention.
C'est donc une façon de ne pas refaire les mêmes erreurs du passé essayant de prévoir les problèmes au lieu de rectifier après coups.
Avatar de Flaburgan Flaburgan - Modérateur https://www.developpez.com
le 30/04/2012 à 9:24
Citation Envoyé par Freem  Voir le message
J'ai pas encore croisé ce terme, mais si jamais je le croise, je pense que je ne pourrai y répondre qu'avec mon pote cynisme...

On utilise le terme Web 3.0 pour parler du web sémantique (ou web de données)
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil