Petit article orné d’un énorme cadenas dans le dernier Market (mars 2006, n°36) à propos de la sécurité des flux RSS. Plus on se rapproche de la sortie de Windows Vista, plus le thème gagne en importance dans les médias. On ne résiste pas à l’influence du monstre M$oft. L’article n’apporte pas grand chose de nouveau; il donne quelques chiffres étazuniens repris de ZDNet.fr qui les a repris des estimations du cabinet Jupiter Research:
- 6% des internautes américains utilisent des fils RSS
- 30% des entreprises américaines générant plus de 50 millions de revenus ont déployé des fils RSS
- 28% des entreprises américaines comptent s’y mettre d’ici 2007
… chiffres qui sont considérés par Market comme représentatifs de l’Europe, en raison d’un taux de fréquentation de web prétendument similaire de part et d’autre de l’Atlantique. A mon humble avis, rien n’est moins sûr et le raccourci est osé.
Quant au danger des flux RSS, car c’est tout de même le thème de l’article, il est contenu dans une seule petite phrase: « … un flux RSS est un fichier XML qui met en exergue du HTML, tout comme un mail est reçu au format HTML. Des pirates éventuels pourraient alors y injecter divers scripts fallacieux. »
A ma connaissance – corrigez-moi si je divague – un courriel peut contenir du code HTML mais pas obligatoirement. Le danger de l’e-mail provient essentiellement des fichiers attachés qui, eux, peuvent contenir du code malicieux. L’e-mail en soi ne présente pas de risque, sinon par le truchement de ruses de sioux, tels que le phishing qui renvoit les utilisateurs trop crédules vers des sites truqués.
Par ailleurs, je n’ai encore jamais vu de script dans un fil RSS. Si tel était le cas, il faudrait encore que le script soit exécuté par l’agrégateur. Je ne suis pas un spécialiste du XML, loin s’en faut, mais il me semble qu’il s’agit avant tout d’un format de transfert de données et non pas d’un langage de script.
En revanche, je vois un danger potentiel dans le détournement de fils RSS ou dans la publication de faux fils RSS comportant des liens vers de « faux » sites, à l’instar du phishing. En outre, certains fils contiennent désormais des informations publicitaires, pratique que l’on peut rapprocher du spam par e-mail.
Un mail au format HTML peut contenir des scripts malicieux, eventuellement interprétés et exécutés par le client de mail et donc permettre la mise en place de spyware/adware… Tout dépend de la configuration de ton client de mail
Dans le cas d’un flux RSS, le probleme est plus ou moins le meme car bien souvent, les aggregateurs offline permettent d’afficher une page web (en suivant le lien present dans l’article d’un flux). Et pour cela ils utilisent en general le moteur d’IE ou de Firefox (en tout cas sur un PC sous Windows) et donc tu peux te retrouver à executer des scripts contenu dans du code HTML, scripts qui peuvent etre malicieux… En théorie tu ne prend pas de risques quand tu t’abonnes a des sources d’informations reconnues.
Enfin si tu veux te rendre compte des problemes éventuels de securité de ton aggregateur, il existe un test : tu t’abonnes dans ton aggregateur préféré au flux http://www.izynews.com/en/safe_rss/check.xml , et tu observes le resultat pour chaque entrée.
Merci Olive pour ces précisions. Je ne connaissais pas le fil de test pour agrégateur mais je viens de découvrir 3 ou 4 failles dans le mien. C’est bon à savoir!
Vraiment sympa ce flux de test. Heureusement, SharpReader s’en sort haut la main avec un zéro fautes. Merci pour le lien!