Une sécurité intégrée pour un Internet plus sûr

Des chercheurs de l'UE ont réalisé un cadre de sécurité innovant, qui apporte aux développeurs et aux utilisateurs plus de protection contre les cyber-attaques.

Octobre est le Mois européen de la cyber-sécurité , et la sensibilisation au problème de la sécurité en ligne n'a jamais été aussi élevée en UE. On estime que le cyber-crime coûte à l'économie européenne des dizaines de milliards d'euros chaque année, en majeure partie par le vol de données de cartes bancaires, revendues ensuite au marché noir.

Parmi les projets financés par l'UE pour lutter contre le cyber-crime, WEBSAND (Server-driven Outbound Web-application Sandboxing) a réalisé de nouveaux outils pour rendre les systèmes moins sensibles aux attaques des hackers.

Les informaticiens de WEBSAND ont conçu des solutions basées sur des «sandboxes» (bacs à sable), qui séparent les programmes douteux des serveurs et des flux d'information (entre les serveurs et le navigateur d'un utilisateur).

RENFORCER LE WEB

«La principale réussite de WEBSAND a été de montrer aux développeurs comment intégrer d'emblée la sécurité dans le système, au lieu de l'ajouter par la suite», explique le coordinateur du projet, le Dr Martin Johns .

Le web a considérablement changé depuis 1990, lorsqu'il servait d'outil pour fournir des documents statiques. Il est devenu un environnement temps réel avec de nombreuses sources, obligeant les développeurs à ajouter la sécurité aux systèmes au lieu d'en faire une partie intégrante de leur modèle client-serveur. WEBSAND a été lancé pour rectifier cette situation.

«Dès le début du projet, nous avons défini un objectif ambitieux. Nous avons décidé d'essayer de corriger le web. Et nous y sommes arrivés, dans une certaine mesure. Nous avons réalisé un grand nombre de solutions directement côté serveur, pour renforcer la sécurité que nous voulions dans certains domaines.»

Le but était de mettre le développeur «dans le siège du conducteur» grâce à une approche de la sécurité pilotée par le serveur, et en réalisant un cadre modulaire et simple d'emploi lui permettant de bâtir des applications sécurisées par défaut, même s'il ne possède que quelques connaissances en la matière.

Par ailleurs, WEBSAND a développé un ensemble d'extensions de navigateur, destinées aux utilisateurs. Il s'agit par exemple de CSFIRE , qui reste «invisible» dans le sens où il essaie de ne pas interférer avec les applications utilisées (qu'il s'agisse d'un programme d'e-mail, de Facebook, de Google ou d'un convertisseur de devises) tout en les protégeant contre les attaques en ligne.

Les scientifiques de WEBSAND ont aussi étudié et proposé des solutions à certains des problèmes de base en ligne.

Ils ont ainsi conçu un complément léger côté client des navigateurs, qui évite les attaques par détournement de DNS, une méthode courante et souvent réutilisée pour extraire des informations d'un serveur sans que l'hôte ne s'en aperçoive. Une légère expansion de la règle «same origin policy» (même origine) côté serveur a tenu compte de ce risque.

Les chercheurs ont aussi trouvé une autre méthode pour authentifier les mots de passe, grâce à un système de question/réponse initié par le serveur au lieu du navigateur.

Maintenant, les principaux partenaires du projet, les sociétés allemandes SAP et Siemens , et les universités de Louvain en Belgique et Chalmers en Suède, collaborent avec le W3C et l'IETF (les organismes internationaux de normes Internet) afin de persuader les entreprises créatrices de navigateurs d'utiliser les méthodes de WEBSAND. Ils font aussi partie de l'organisation OWASP (Open Web Application Security Project) à but non lucratif, et font la promotion de leurs découvertes via ses groupes d'utilisateurs et ses réunions.

«Chez SAP et Siemens, nous utilisons les solutions de WEBSAND pour rendre nos propres produits plus sûrs. Mais nous bénéficierions aussi d'un réseau Internet qui serait sécurisé par nature», ajoute le Dr Johns. «La sécurité coûte cher, et un Internet plus sûr permettrait aux entreprises d'allouer plus de ressources pour développer des fonctionnalités.»

WEBSAND a reçu 3,2 millions d'euros du 7e PC. Son consortium de cinq partenaires originaires de trois pays a été actif d'octobre 2010 jusqu'en avril 2014.


Lien au site web du projet

publié: 2015-01-27
Commentaires


Privacy Policy