HTML5 va créer de nombreuses occasions pour les cybercriminels

HTML5, le futur standard du Web qui tend à mettre fin à l’utilisation des plug-ins comme Flash ou Silverlight va également ouvrir la voie à une nouvelle génération de failles de sécurité et de possibilités d’attaques.

La norme déjà largement adoptée par les éditeurs de navigateurs et les outils de création va créer de nombreuses occasions pour les cybercriminels, selon Robert McArdle, un chercheur en sécurité senior pour Trend Micro.

Lors de sa Keynote pendant la conférence B-Sides de Londres sur la sécurité, McArdle a expliqué comment la norme pourrait être utilisée pour lancer des attaques à partir du navigateur.

La plupart des scénarios d’attaque présentés par l’expert en sécurité utilisent le JavaScript pour créer des botnets résidants en mémoire pouvant envoyer des Spams, lancer des attaques par déni de service ou pire.

De plus, HTML5 donnera une plus grande ouverture aux pirates. Parce que les attaques seront basées sur le navigateur, n’importe quel script malveillant pourra donc s’exécuter autant sur des ordinateurs Mac OS X que sur des smartphones Android ou tout autre système d’exploitation.

McArdle déclare par ailleurs que le code JavaScript malveillant est très facile à masquer, afin de contourner assez simplement les passerelles réseau, et les attaques HTTP basées sur le langage passent également facilement à travers la plupart des pare-feu.

Néanmoins, McArdle voit en HTML5 une plateforme ayant bien plus d’avantages que d’inconvénients. « Les bonnes choses en HTML5 l’emportent sur les mauvaises. Nous n’avons pas encore vu des utilisations malveillantes du standard, mais il est bon de penser à l’avance à développer des défenses » conclut McArdle.

Pour en apprendre plus sur les scénarios d’attaque via HTML5, il y a un site spécialisé créé pour l’occasion : HTML5 Security Ressources Repository.