Sécurité : les services Web évoluent trop vite
Les entreprises et professionnels faisant une confiance aveugle aux standards de la sécurité des services Web devraient y regarder à deux fois. Bien qu'elles soient parfaitement adaptées à la sécurisation des services de messages Web, les spécifications ne sont pas efficaces contre les attaques du type SOAP array overflow et les autres moyens de pénétrer les systèmes des entreprises. Les standards WS-Security et SAML ne permettent pas de se prémunir contre les attaques» explique Tony Baer, analyste chez onStrategies. «Ils ne sont là que pour définir les politiques», précise-t-il. WS-Security, faisant partie des standards les plus populaires et les plus matures, a été conçu par un groupe d'équipementiers. WS-Security a pour racine OASIS, le premier standard dédié aux services Web. Il définit les types d'encryption et d'authentification dont les messages ont besoin (jetons SAML, PKI ou Kerberos, par exemple), pour être conformes et acceptés. Cependant, les experts en sécurité espèrent que WS-Security, ou l'une de ses branches telles que WS-Trust ou WS-SecurityPolicy seront assez aboutis pour sécuriser les services Web. «La complexité des services Web évolue plus rapidement que notre capacité à créer des standards pour les adresser. Là est le défit lié aux services Web», relève Danny Allan, directeur de la recherche sur la sécurité chez Watchfire. «Si nous continuons à poursuivre le train qui a quitté la gare, nous n'y arriverons jamais», conclut-il.
