La sécurisation des applications a toujours été un élément clé de la sécurité du Système d'information.
Zoom InfoUne application Client Serveur était hiérarchique et centralisée : on connaissait les clients, qui accédaient tous à un serveur spécifique via le réseau LAN et WAN. Mais les données du problème ont changé. L'utilisation des technologies web, notamment l'utilisation d'un navigateur Internet standard pour accéder à l'application fait qu'on ne maîtrise plus le logiciel clients. De même, les nouvelles générations d'applications, comme la Téléphonie sur IP, ou la messagerie instantanée remettent ce modèle en cause. En effet, le modèle n'est plus hiérarchique et centralisé (des clients qui convergent tous vers un serveur), mais distribué et non prédictif (tout le monde doit pouvoir parler à tout le monde, sans savoir ni quand ni combien de temps). Le modèle de sécurisation des applications vole donc en éclats : on en peut plus sécuriser d'application centrale, il faut distribuer cette sécurisation partout, dans chaque élément traversé. Par ailleurs, on ne protège plus l'application de la même façon. L'utilisation d'un navigateur Internet sous-entend de laisser le port 80 ouvert dans les Firewalls. Les pirates informatique le savent, et ont donc adapté leur stratégie : ils exploitent cette porte ouverte pour rentrer, en injectant du code malicieux ou en usurpant l'identité du client. Autre exemple : dans le cas de la téléphonie sur IP, par exemple, nous sommes dans une communication temps réel, sur lequel des délais de transit et les latences sont cruciaux. Que se passe-il lorsqu'un flux voix traverse un Firewall ? Quelle latence est induite par la sécurisation et le contrôle du flux ?
En fonction des cas et des endroits où l'on va intervenir ces technologies deviennent indispensables. Liens |
 |
|
