De par leur conception, les services web établissent des interactions automatiques entre les applications. Ils ne sont donc pas bloqués par les dispositifs de sécurité. Cette transparence, due aux attributs XML exploités, commence à inquiéter. En effet, “elle favorise des attaques par déni de service, peut surcharger des serveurs et provoquer leur plantage”, prévient Denis Lacroix, directeur des développements produits chez e-Travel. Par ailleurs, un service web, même s’il est bien conçu, peut détourner une application (objet métier Java, classe .NET) de sa fonction première. Bref, le système d’information peut être piraté. Il devient donc urgent de sécuriser les services web. À cet égard, les problématiques restent les mêmes que pour la construction d’une architecture de sécurité classique sur HTTP, fondée sur des certificats numériques et SSL. Il s’agit d’assurer l’authentification d’un échange de services web, décrit en XML, la non-répudiation des informations qu’il véhicule et leur intégrité. Appliquée aux services web, cette sécurisation s’opère avec le chiffrement des enveloppes Soap, formées d’attributs. Ceux-ci véhiculent, entre autres, des commandes adressées au système d’information : valeur d’une transaction, méthode d’un objet, paramètres du contrat entre applications… Ces commandes doivent pouvoir être chiffrées indépendamment des autres flux transportés. Pour y parvenir, plusieurs stratégies de normalisation émergent. Concernant l’intégrité et la non-répudiation, Microsoft met à disposition sa boîte à outils WSDK 1.0, qui met partiellement en ?”uvre les dialectes WS-Security et WS-Routing au sein de l’environnement .NET. Ceux-ci prennent en charge la définition du contexte de chiffrement des enveloppes Soap, ainsi que leur distribution sur les couches de transport (UDP, TCP, etc.). “WSDK autorise la sélection d’un certificat X.509, exploité par les solutions de PKI, pour la sécurisation des attributs d’un service web”, explique Alain Le Hégarat, responsable marketing .NET. La plate-forme TrustBridge, attendue fin 2002, exploitera également WS-Security afin d’assurer l’authentification en réseau fédéré d’un service ou d’un utilisateur.
Les coupe-feu prennent en compte les en-têtes Soap
Cette solution est interopérable avec le dialecte SAML (Security Assertion Markup Language), qui est en passe de devenir un standard adopté par de nombreux éditeurs. RSA Security a profité de la livraison de la version 5.0 de ClearTrust pour l’intégrer. Quant à Sun Microsystems, il le proposera dans la version 6.0 de sa solution de gestion des règles d’identité unique (SSO) en réseau fédéré, Sun One Identity Server, attendue en novembre. Sun vient d’annoncer, par ailleurs, son adhésion au consortium WS-I (chargé d’améliorer l’interopérabilité des services web). L’annonce préfigure la consécration comme standards des dialectes codéveloppés par IBM, Microsoft, VeriSign, DevelopMentor et d’autres éditeurs (WS-Routing, WS-Security, WS- Coordination, WS-Transaction, WS- Attachments, WS-Inspection).Absents du débat, les fabricants de coupe-feu tentent de retrouver leur place de gardiens naturels de l’entreprise en s’intéressant aux services web. Jusqu’à présent, dans le mode de filtrage traditionnel des paquets, les coupe-feu ne prenaient pas en compte le niveau applicatif, donc l’en-tête Soap. Pour y remédier, Check Point livre, depuis le mois de septembre, une mise à jour de son logiciel FireWall-1 désormais apte à reconnaître la présence d’une requête Soap pour l’appel distant d’un service encapsulé dans HTTP. En employant des schémas XML, le coupe-feu définit ensuite si l’invocation d’un service est bien autorisée sur un serveur. Toutefois, l’identification des utilisateurs s’appuie toujours sur les adresses IP sources et destinations. Dans le cas de service web ouverts à des acteurs autres que des partenaires connus de l’entreprise, cette méthode a ses limites. En réponse, l’américain Reactivity a développé un coupe-feu dédié exclusivement à l’analyse des en-têtes Soap. Mais il se distingue également par sa compatibilité avec de nombreuses spécifications liées aux services web (SAML, XML Encryption, etc.).
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.