L'Agence européenne chargée de la sécurité des réseaux et de l'information, l'Enisa, estime que les normes HTML5 en cours de développement ont subi des révisions qui négligent certaines questions de sécurité importantes. Elle a publié hier à ce sujet un document de 61 pages qui décortique les spécifications du dernier format de codage de l'Internet, dont la définition est dirigée par le World Wide Web Consortium (W3C). Ce dernier accepte les recommandations concernant la dernière mouture du HTML5 jusqu'à aujourd'hui, et tiendra compte de celles publiées par l'Enisa un jour avant la date butoir. « C'est assez nouveau. Je pense même que c'est la première fois que quelqu'un analyse ces spécifications du point de vue de la sécurité », a déclaré Giles Hogben, expert à l'Enisa et auteur du rapport.

Les spécifications HTML5 sont importantes, car elles doivent servir de base aux concepteurs d'applications et aux développeurs Web pour les années à venir. Comparativement, les spécifications du HTML4 sont utilisées depuis 1999. Si le cahier des charges pour les navigateurs Web n'est pas à la hauteur, il fait prendre un risque à tous les utilisateurs, particuliers et entreprises.  « Aujourd'hui, tout le monde utilise un navigateur web pour un tas de besoins différents », explique l'expert de l'Enisa. « C'est un outil vraiment capital. »

Un attaquant pourrait injecter du code HTML sur la page

Parmi les 13 spécifications du HTML5 auxquelles elle s'est intéressée, l'Enisa a relevé 51 problèmes de sécurité. « Certains d'entre eux peuvent être corrigés en peaufinant le cahier des charges, mais d'autres exposent à des risques relatifs aux fonctionnalités et sur lesquels les utilisateurs devraient être avertis », explique Giles Hogben. Une spécification, appelée « form tampering » dans le document, et relative à la modification de formulaire, préoccupe notamment les experts de l'agence européenne de sécurité informatique. La spécification HTML 5 actuelle permet de placer le bouton « soumettre » d'un formulaire Internet n'importe où sur la page. Cela signifie qu'il serait possible pour un attaquant d'injecter un autre code HTML sur la page, par exemple un bouton de formulaire différent, et de diriger les informations de ce bouton vers l'attaquant plutôt que vers le site web légitime. L'expert reconnait que la nouvelle fonctionnalité présente des avantages pour les développeurs. « Nous ne suggérons pas que le W3C supprime cette fonction, précise-t-il, mais qu'elle informe les utilisateurs des risques potentiels ».

L'Enisa fait également des recommandations sur la façon dont les navigateurs doivent se comporter quand un utilisateur se sert d'Internet pour effectuer des transactions bancaires. Selon ces recommandations, les utilisateurs devraient, pour cela, utiliser différents navigateurs, ou au moins avoir recours à des sessions « sandbox » s'ils ouvrent plusieurs onglets dans leur navigateur. « Une session bac-à-sable permettrait d'éviter qu'un autre onglet, susceptible de contenir une page d'attaque, tire parti d'un paramétrage insuffisant ou de permissions définies pour l'ensemble de l'application. »

L'Enisa a prévu d'envoyer ses recommandations à chaque groupe de travail du W3C, qui planche sur une révision des spécifications pour janvier 2012.