Sécurité : Les applications, talon d’Achille des ... · ture comportent de moins en moins de failles, tandis que les processus de sécurisation des systèmes sont aujourd’hui

LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE

n°66

Bim

estr

iel -

mar

s/av

ril2

007

- 16

€

Sécurité : Les applications, talond’Achille des entreprises - PAGE 6

Les DRM : uneintroductionPAGE 49

RIA (Rich Internet Application) :définitions et panorama des solutions - PAGE 18

Un observatoire pour mesurerl’urbanisation des systèmesd’information - PAGE 39

Gestion des droits numériques en entrepriseavec RMS - PAGE 28

MICROSOFT SYSTEM CENTER.CONÇU POUR LES GRANDES CHOSES.

QU’EST-CE QUE SYSTEM CENTER ?Microsoft System Center est un ensemble de solutionsspécialement conçues pour vous aider à gérer vossystèmes et applications critiques d’entreprise. Lafamille de logiciels System Center inclut des outilsd’administration et de supervision connus tels queMicrosoft Systems Management Server (SMS) etMicrosoft Operations Manager (MOM), ainsi que touteune gamme d’autres outils de gestion.

MIEUX GÉRER POUR PLUS DE FIABILITÉ.Les logiciels Microsoft System Center vous aident à améliorer la fiabilité grâce à une gestion intelligente de l’infrastructure. Par exemple, les logicielsMicrosoft System Center collectent et agrègent les connaissances sur votre infrastructure, vos stratégieset vos processus. Vous pouvez ainsi augmenter la disponibilité de vos applications et améliorer la qualité de service.

MIEUX GÉRER POUR PLUS D’INTÉGRATION.Les logiciels Microsoft System Center fonctionnent avec votre environnement informatique existant et interagissent avec les outils d’administration et desupervision déjà en place. De plus, les capacités deSystem Center peuvent être étendues pour gérer une infrastructure et des applications comme SAP, Oracle, Apache, Linux et autres.

COMMENT DELL GÈRE LES CHOSES EN GRAND ?Dell, le plus grand constructeur de systèmesinformatiques du monde, utilise les logiciels SystemCenter pour gérer son site Internet Dell.com.Selon Takis Petropoulos, Expert Systèmes : « Plusde la moitié des 57 milliards de dollars de ventesannuelles de Dell, proviennent du site de vente enligne Dell.com. Dell s’appuie sur les logiciels SystemCenter pour assurer 24h sur 24, 7 jours sur 7, le bonfonctionnement de son e-commerce global et deses autres systèmes critiques. »

Pour en savoir plus sur les organisations ayantadopté System Center, rendez-vous surwww.microsoft.com/france/systemcenter

Edito

4 IT-expert n°66 - mars/avril 2007

Une rumeur insistante prête à Google l’intentionde produire un téléphone mobile similaire auxfameux Blackberry et doté de capacités internetplus avancées. Cette rumeur n’est pas sansrappeler celle qui, il y a quelques années, avaitprêté à l’éditeur l’intention de construire lui-même des PC. La rumeur pourrait s’avérer toutaussi infondée qu’elle ne l’était à l’époque. Ne

comptez pas sur Google pour apporter le moindre commentaire. Quelintérêt aurait en effet un éditeur, qui n’a jamais produit le moindrematériel, à se lancer sur un marché déjà surchargé ? Outre une concur-rence féroce, Google aurait sans doute beaucoup à y perdre. Les fabri-cants de téléphones qui pré-chargent les logiciels de Google auraientalors beau jeu de se tourner vers les offres de Microsoft ou de Yahoo.Par ailleurs, Google n’est ni un constructeur, ni un opérateur disposantd’une bande passante. Il devrait donc nouer des partenariats dans cesdeux domaines, et ce à l’échelle mondiale pour l’accès au réseau.

Il est en revanche certain que Google s’intéresse depuis longtempsaux téléphones mobiles, en ce qu’ils constituent un moyen d’accéderà l’internet et donc aux services de Google. La bataille avec ses deuxconcurrents dans ce domaine que sont Yahoo et Microsoft est d’ail-leurs féroce comme on l’a constaté le mois dernier lors du salon 3GSMqui se tenait à Barcelone. A la clef, un faramineux marché publicitairequi n’en est encore qu’à ses balbutiements et dont le modèle reposesur des réductions tarifaires accordées à ceux des abonnés qui accep-teront de voir des publicités. Pour l’heure, le grand gagnant sembleêtre Yahoo dont le moteur Go For Mobile est installé sur les Nokia,Motorola, RIM – Blackberry et Samsung. L’américain va en outre deve-nir la régie publicitaire exclusive de Vodafone en Grande-Bretagne.

Google se doit donc de réagir, et vite s’il ne veut pas voir lui échapperune part significative d’un gâteau d’envergure mondiale. Quelle quesoit la forme que prendra la réponse qui se prépare, elle sera sansdoute surprenante.

Jean-Pierre FORESTIERRédacteur en Chef

édito

EditeurPress & Communication FranceUne filiale du groupe CAST3, rue Marcel Allégot92190 Meudon - FRANCETél. : 01 46 90 21 21Fax. : 01 46 90 21 20http ://www.it-expertise.comEmail : [email protected]

Rédacteur en chefJean-Pierre ForestierEmail : [email protected]

Directeur de publicationAurélie MagniezEmail : [email protected]

Abonnements/PublicitéEmail : [email protected]

Conception GraphiqueC. GrandeEmail : [email protected]

ImprimeurMoutot Imprimeurs

ParutionIT-expert - (ISSN 1270-4881) est un jour-nal édité 6 fois par an, par P & C France,sarl de presse au capital de 60 976,61 €.

AvertissementTous droits réservés. Toute reproductionintégrale ou partielle des pages publiéesdans la présente publication sans l’auto-risation écrite de l’éditeur est interdite,sauf dans les cas prévus par les arti-cles 40 et 41 de la loi du 11 mars 1957.© 1996 P&C France. Toutes les marquescitées sont des marques déposées.Les vues et opinions présentées danscette publication sont exprimées par lesauteurs à titre personnel et sont sous leurentière et unique responsabilité. Touteopinion, conseil, autre renseignement oucontenu exprimés n’engagent pas la res-ponsabilité de Press & Communication.

Abonnements01 46 90 21 21Prix pour 6 numéros (1 an)France ; U.E. : 89 € TTCDom TOM, Autres Pays : 128 € TTC

Un bulletin d’abonnement se trouveen page 37/38 de ce numéro.

Vous pouvez vous abonner surhttp://www.it-expertise.com/Abonnements/Default.aspxou nous écrire à[email protected]


IT-expert n°66 - mars/avril 2007

5IT-expert n°66 - mars/avril 2007

SommaireDossierSécurité : Les applications, talon d’Achille des entreprisesLa sécurité des systèmes d’information a longtemps été vue comme l’apanage des équi-

pes systèmes et réseau. Cette vision est aujourd’hui dépassée. Les logiciels d’infrastruc-

ture comportent de moins en moins de failles, tandis que les processus de sécurisation

des systèmes sont aujourd’hui matures. Désormais le danger vient des applications elles-

mêmes. La sécurité s’invite ainsi dans le cycle de développement des logiciels, nécessi-

tant de nouvelles pratiques dans ce domaine comme l’expose cet article.

TechniqueRIA (Rich Internet Application) : définitions et panorama des solutionsLes applications Internet Riches (RIA) découlent de l’utilisation des technologies

associées au Web 2.0. Cet article introduit les deux principales technologies qui tentent

aujourd’hui d’occuper ce terrain : Ajax d’une part et Flex d’autre part.

Actualités InternationalesActualités internationales et annonces produits chez les éditeurs…

Quoi de Neuf Docteur ?Gestion des droits numériques en entreprise avec RMSLa gestion des droits numériques ne se limite plus aujourd’hui à la sécurisation de la

distribution de contenu auprès du grand public. Les entreprises elles aussi cherchent à

sécuriser leurs documents, ainsi qu’à en contrôler la diffusion et l’usage. Cet article

détaille l’offre RMS de Microsoft en la matière

Comment ça Marche ?Un observatoire pour mesurer l’urbanisation des systèmes d’informationAvec près d’un an d’existence, l’observatoire de l’urbanisation du club URBA dresse un

premier panorama des pratiques d’urbanisation en entreprise en s’appuyant pour cela sur

une cotation d’une quarantaine de systèmes d’information dont plusieurs appartiennent

à des entreprises du CAC40.

Fenêtre sur courInterview d’Hubert Tournier, Senior Manager chez Deloitte Consulting &Risk Services Le conseil en informatique est une activité moins connue de Deloitte que celle de

commissariat aux comptes. Elle en constitue cependant un complément naturel appelé,

au titre de la gouvernance, à traiter de la sécurité des systèmes d’information comme

nous l’explique Hubert Tournier, Senior Manager de l’activité de conseil et des services

de gestion de risques.

LivresPro WF Windows Workflow et Workflow in the 2007 Microsoft Office System sont les ouvrages que nous vous recommandons ce mois-ci.

Rubrique à bracLes DRM : une introductionLa gestion des droits numériques est un sujet qui nous touche à la fois dans notre vie

privée et dans notre vie professionnelle. Cet article présente les principales technologies

utilisées actuellement pour permettre le contrôle de la diffusion et de l’accès aux

contenus électroniques.

6

18

25

28

39

44

47

49

Dossier & Interviews


Sécurité :Les applications,talon d’Achilledes entreprises


Une situation contrastée

En matière de sécurité informatique, l’année 2002 aura sansdoute marqué un tournant essentiel, celui d’une première prise deconscience. En effet plusieurs événements ont marqué 2002 etcontribué à vulgariser les concepts de la sécurité informatique.Ce fut à la fois l’année qui a suivi les attentats du 11 septembreainsi que l’année des grandes épidémies virales touchant lespostes clients comme les serveurs : Code Red, Nimda, BugBear,Slapper, Melissa… C’est aussi l’époque de l’éclatement de labulle Internet où les entreprises ont alors imposé à leur DirectionInformatique réductions de coûts et rationalisations. Pourtant leseul budget qui échappe à ces contraintes est alors celui de lasécurité informatique, budget au cœur des préoccupations dumoment. Ces événements ont permis d’accélérer la diffusion destechnologies et des pratiques de la sécurité informatique.

Cinq ans plus tard, force est de constater que les entreprises ontréalisé des progrès importants dans le domaine de la sécuritéinformatique mais que ceux-ci restent très contrastés et souventincomplets. Ainsi une étude du Club de la Sécurité des Systèmesd’Information Français (Clusif), intitulée « Politiques de sécuritéinformatique & sinistralité en 2005 », montre que 56 % des entre-prises interrogées étaient dotées en 2005 d’une politique desécurité informatique (PSI). Pire pour 58 % des entreprises étu-diées, la responsabilité de la sécurité de l’information n’est pasformellement attribuée à un Responsable de la Sécurité du Sys-tème d’Information (proportion qui baisse à 28 % pour les entre-prises de plus 1 000 personnes).Plus grave, cette étude sur la sinistralité montre que seuls 2 %des incidents vécus par les entreprises sont dus à des intrusionssur le réseau. La majeure partie, soit 56 %, provient d’erreurs deconception et de déploiement des logiciels. Une autre étude réa-lisée par le cabinet de conseil Gartner évalue que 75 % des atta-ques sont perpétrées via les applications.


Comment expliquer cette situation ?

Ces dernières années les entreprises ont massivement investi dansdes technologies et des organisations visant à protéger l’entreprisecontre l’extérieur. Les grandes DSI se sont notamment équipées desystèmes de coupe-feu, de détection des intrusions, de réseaux pri-vés virtuels et systèmes de cryptage des échanges, ou encore desystèmes de gestion des identités et des accès.Elles ont mis en place des processus associés en confiant la gestionde l’ensemble de ses outils à des équipes d’administrateurs réseauxet de spécialistes de la sécurité de ces mêmes réseaux.

Cependant ces technologies n’aident à résoudre qu’une toutepetite partie du problème de la sécurité informatique : celui de laprotection des réseaux contre l’environnement extérieur, ce queles spécialistes nomment la défense périmétrique. Or pour êtreefficace une politique de sécurité informatique (PSI) se doit d’êtreholistique et donc prévenir les risques pour l’entreprise dans sonensemble. Et c’est peu dire que ces risques ont beaucoup évo-lué notamment avec le développement des applications Internetet avec la mobilité accrue de l’ensemble des collaborateurs del’entreprise. En effet, la nouvelle frontière des entreprises est ladisparition des frontières ! Les entreprises petites ou grandesouvrent à leurs clients de nouvelles applications commercialessur Internet. Elles bâtissent des équipes virtuelles. Elles intègrentdans leurs équipes partenaires et fournisseurs qu’ils soient « offs-hore », à l’autre bout du monde ou « nearshore », à 3 heures deTGV.Pour tous ces nouveaux collaborateurs, clients et partenaires del’entreprise, les réseaux sont donc « ouverts » pour permettre lamise à disposition d’outils collaboratifs et des applicationsmétiers via le web. La protection fournie par les systèmes decoupe-feu est alors levée puisque l’entreprise doit ouvrir un ouplusieurs ports (port 80, 443…) pour permettre l’entrée d’un tra-fic réseau légitime pour donner accès à ces applications.

C’est cette ouverture qui explique que les applications soient deve-nues la cible numéro 1 des pirates professionnels ou amateurs.Nécessaire si l’entreprise veut bénéficier des énormes avantages del’e-business, de la mondialisation et de la mobilité, cette ouvertureconstitue donc un très grave danger si elle ne s’accompagne pasd’une sécurité accrue des applications mises en ligne ou accessi-bles aux clients ou à des partenaires collaborateurs.A titre d’exemple, en 2006, une grande entreprise de transportfrançaise met en ligne une nouvelle application qui permet à sesclients de s’abonner par Internet à ses services. Quelques centai-nes de formulaires d’adhésion plus tard, un internaute se rendcompte que son numéro de client est directement utilisé pourconstituer l’adresse Internet, l’URL, de son formulaire client. Enmodifiant simplement ce numéro dans la barre d’adresse de sonnavigateur, il découvre qu’il a accès aux formulaires completsd’autres clients. Accès à de très nombreux formulaires, plus de1400, contenant photo, nom, prénom, adresse postale, courrielet numéro de téléphone. Alertée à plusieurs reprises par l’inter-naute la société en question ignore la mise en garde, jusqu’à ceque l’internaute ne saisisse une association de consommateurqui révèle l’affaire. Le site est alors fermé pour mettre en sécuritéle site, c’est-à-dire corriger les failles constatées.

Ce qui est symptomatique de cet incident, c’est qu’il n’est plusnécessaire d’être un spécialiste en cryptologie ou un expert de laprogrammation réseau pour obtenir des informations très confi-dentielles et parfois pour provoquer des dégâts considérables. Lamontée en compétence des internautes, notamment parmi lesplus jeunes et/ou les plus éduqués, conjuguée à l’énormité decertaines failles de sécurité constitue un grave danger dont peude DSI sont vraiment conscients.

En première ligne pour sonner l’alerte auprès des dirigeants, lescabinets d’audit comptable sont de plus en plus nombreux às’inquiéter auprès des dirigeants des faiblesses du SI en terme desécurité (voir notamment l’interview de Monsieur Tournier dansce numéro). Par exemple, lorsqu’une entreprise réalise une partimportante de son chiffre d’affaires sur Internet, les auditeurschargés de certifier la sincérité des comptes ne peuvent pas nepas s’inquiéter si les applications mises en ligne sont des passoi-res. Ils ont alors un devoir d’alerte et doivent signaler le problèmedans leur rapport, engageant alors la responsabilité des diri-geants de l’entreprise auditée.Les cabinets de conseil informatique participent eux aussi àl’alerte des DSI. Le Gartner « prédit » dans une note que d’ici2009, 80 % des entreprises auront subi un incident de sécuritésur une application !

Pourquoi les applications sont-ellesdevenues le talon d’Achille du SI ?

Faisons appel aux experts : Gary McGraw, pionnier et expertaméricain de la sécurité des logiciels résume la situation demanière très pragmatique : « le mauvais logiciel, quel qu’il soit etquelque soit son origine est l’unique et le plus important pro-blème de sécurité pour les entreprises aujourd’hui ».

En effet pour William Malik, ancien directeur marketing de Sun encharge des produits sécurité : « un problème de sécurité, ce n’estrien d’autre que l’exploitation d’un défaut du logiciel. Si vous écri-vez du code source de haute qualité, il n’y a alors pas tant dedéfauts à exploiter ».

Aujourd’hui les entreprises déploient des logiciels qui sont loind’être sans défauts et ce quelque soit leur origine, qu’ils soientdéveloppés en interne ou bien achetés sur étagère. Ces défautssont autant de vulnérabilités potentiellement exploitables par despirates. L’ampleur du phénomène est directement liée au fait queles logiciels déployés ont une taille technique et fonctionnelledonc une complexité de plus en plus grande. Par exemple, unlogiciel moderne de facturation dans le domaine des télécommu-nications dépasse aujourd’hui allègrement les 15 millions delignes de code source. Pour prendre une source ouverte, prenonsl’exemple de Microsoft Windows : en 7 ans, de 1995 à 2002, lataille d’un système logiciel a été multipliée par 10 !

Comme le mentionne Gary McGraw, les estimations les plus cou-ramment utilisées font état d’une densité de défauts présentsdans un logiciel mis en production variant de 5 à 50 défauts pourchaque millier de lignes de code source (KLOC). Ce qui signifie


que la taille et la complexité croissante des applications s’ac-compagne d’une augmentation des risques, d’une insécuritéaccrue puisqu’avec le nombre de défauts qui augmente c’estautant de vulnérabilités présentes, exploitables, autant de portesouvertes aux pirates.C’est aussi ce que suggère l’évolution comparée de taille de Win-dows (Figure 1) et du nombre de vulnérabilités détectées et rap-portées le CERT-US (Figure 2).

L’autre difficulté qui concourt très fortement à faire des applica-tions le talon d’Achille des SI, c’est l’ignorance des acteurs.Les dirigeants, d’une part pensent avoir investi à bon escientdans des technologies et des organisations qui pourtant cou-vrent uniquement la sécurité des réseaux et organisent unedéfense du périmètre.

De l’autre, les équipes de développement n’ont pas été forméespour produire des applications sécurisées et surtout pensent,par erreur ou par ignorance que la sécurité des applications n’estpas de leur ressort. En général, les développeurs estiment queleur rôle est de produire les fonctionnalités attendues par leurclient en temps et en heure. Aussi ils conçoivent et implémententces applications mais n’intègrent souvent jamais les contraintes

de sécurité et n’utilisent pas les protections et les techniquesfondamentales de la programmation sécurisée. Un rapide coupd’œil sur les formations dispensées dans les écoles d’ingénieurset les universités montre que cette discipline n’est pas du toutenseignée. Les seuls cours dispensés en rapport avec la sécuritésont des cours de cryptologie, une discipline mathématique quine couvre pas du tout le champ de connaissance de la program-mation sécurisée. Ce dont les développeurs ont besoin pourmener à bien leur mission de développement applicatif, c’est deconnaître les techniques utilisées par les pirates pour casser lesapplications et accéder aux informations confidentielles recher-chées et de connaître les parades et les techniques qui permet-tent de se prémunir de ces attaques.

De leur côté, les spécialistes de la sécurité informatique à l’œuvredans les DSI sont des spécialistes de la gestion des réseaux etdes spécialistes de la gestion des identités. Ce sont très souventdes administrateurs réseaux ou systèmes ayant développé uneexpertise dans le domaine de la sécurité. Cependant, ils man-quent de connaissances concernant les techniques modernesde développement logiciel et les méthodes liées au cycle dedéveloppement.

La situation, résumée par un expert, est donc aujourd’hui la sui-vante : « Les pirates connaissent mieux la sécurité que les déve-loppeurs d’applications et connaissent mieux les techniques dedéveloppement que les spécialistes de la sécurité. Ils sont aucentre du jeu et profitent du manque de formation et d’informa-tion de leurs adversaires. Ils restent les grands gagnants ».

Les DSI ont donc aujourd’hui une mission essentielle de gestionde la compétence à réaliser au plus vite. De trop rares DSI, sou-vent dans les secteurs de la pharmacie et de la finance, et aiguil-lonnés par des besoins d’ordre réglementaires, ont mis la sécuritéau cœur de leur processus de développement et rendu les équi-pes de développements responsables de la sécurité des applica-tions qu’ils produisent.

Quelle démarche adopter ?Comment faire pour que la sécuritédevienne une priorité de la DSIet des équipes de développement ?

La démarche à suivre doit permettre de responsabiliser l’ensem-ble des acteurs de la DSI en charge des applications, du décideurau développeur. Comment démarrer ?

La pratique américaine est souvent de lancer une initiative àl’échelle de l’entreprise et sponsorisée par un haut dirigeant quis’assure de la mise en place et de résultats.

Un bon exemple d’une telle initiative est celle lancée en 2002 parBill Gates. Au moment où des failles de sécurité dans les produitsde la société sont découvertes et exploités tous les jours, BillGates met Microsoft sur les rails d’une nouvelle stratégie inté-grant la sécurité au cœur de ses produits logiciel. Comme il l’avaitfait quelques années auparavant pour l’adoption d’Internet, c’est

0

5

10

15

20

25

30

35

40

45

Win3.1

(1990)

WinNT

(1995)

Win95

(1997)

NT4.0

(1998)

Win98

(1999)

NT5.0

(2000)

Win2k

(2001)

XP(2002)

Mill

ions

of L

ines

Figure 1 - Complexité de Windows mesurée en lignes de code

0

500

1000

1500

2500

3000

3500

2000

4000

4500

1995 1996 1997 1998 1999 2000 2001 2002 2003 2004

Figure 2 - Nombre de failles de sécurité reportées par le CERT


par l’envoi d’un email à l’ensemble des employés de Microsoftqu’il lance son initiative de l’Informatique de Confiance (« Trust-worthy Computing »).Cette initiative pose la disponibilité, la sécurité et la confidentia-lité comme étant les fondamentaux de cette « Informatique deConfiance ».

Le mail décrit aussi brièvement la démarche et les moyens à met-tre en œuvre pour produire de la confiance :• Priorité à la sécurité par rapport à la rapidité de mise sur le

marché de nouvelles fonctionnalités,• Formation à la sécurité et aux techniques de développements

sécurisés de tous les acteurs,• Intégration de la dimension la sécurité dans l’ensemble du

processus de développement…

Former à la sécuritéet à la programmation sécurisée

Comme évoqué précédemment, les ingénieurs sortis frais mou-lus de l’école ont des connaissances très limitées en matière desécurité logicielle. Il s’agit donc de les former aux enjeux, auxobjectifs de la sécurité, aux grands principes de conceptionsécurisée mais aussi de les former à la programmation sécuriséeet aux techniques permettant de prévenir et de bloquer autantque possible les attaques des pirates.

Former aux enjeux et aux objectifs, c’est éduquer aux principes de :• Gestion et de la vérification des identités,• Gestion des autorisations et contrôle de l’accès aux ressources,• Confidentialité et d’intégrité des données,• L’identification des responsabilités,• Disponibilité des services,• Non-répudiation des transactions.

C’est aussi les former aux grands principes de défense, le prin-cipe du moindre privilège ou la défense en profondeur. Mais ceciest loin d’être suffisant, pour que les chefs de projet et les déve-loppeurs produisent des applications sécurisées, il est absolu-

ment fondamental qu’ils connaissent les modes opératoires despirates et autres hackers et qu’ils puissent savoir en quelquesorte « comment pense un hacker ».

Ce proverbe pirate pourrait très bien être détourné : « donner à unhomme un crack et il aura faim à nouveau demain. Apprenez-luicomment cracker et il n’aura plus jamais faim. »De la manière suivante : « donner à un développeur une recettede protection et il aura faim à nouveau demain. Apprenez-luicomment les pirates attaquent et il n’aura plus jamais faim. »

Cet apprentissage peut paraître dangereux à certains. Il faut alorsleur rappeler que c’est de cette ignorance que profitent les pira-tes. Cet apprentissage est indispensable pour réduire à la sourceles vulnérabilités.La littérature et la recherche en la matière sont abondantes. Leschercheurs et les praticiens de la sécurité logicielle ont observéque la très grande majorité des attaques sont dues à des vulné-rabilités basées sur un nombre relativement restreint d’erreursde programmation. Ils ont réalisé plusieurs classifications de ceserreurs de programmations et des vulnérabilités qu’elles ouvrent.

Ainsi le CERT (Computer Emergency Readiness Team) de l’Uni-versité de Carnegie Mellon est une unité de recherche qui gèreune initiative dite de programmation sécurisée qui travaille encollaboration avec des équipes de développement logiciel pourcataloguer et documenter ces erreurs de programmation, pro-duire des standards de programmation sécurisée, des recom-mandations et des formations.

Une autre initiative rencontre beaucoup de succès, celui d’uneassociation fonctionnant sur le modèle Open Source, il s’agit del’OWASP : The Open Web Application Security Project, le ProjetOuvert pour la Sécurité des Applications Web.Cette association met en ligne des ressources, créées sur unmodèle collaboratif, particulièrement utiles à la formation deséquipes de développement et à leur travail en matière de pro-grammation sécurisée. Quelques exemples de ces ressources etdocuments utiles à la sensibilisation et à la formation (en anglais« Awareness Documents ») :


• Le Top 10 des vulnérabilités les plus critiques des applica-tions web,

• Le guide de développement d’applications et de services websécurisé (un document de 293 pages très complet),

• L’application WebGoat qui est une application J2EE complèteet qui fourni un terrain ouvert pour l’apprentissage pratique etl’expérimentation qui contient de multiples vulnérabilités,

• L’outil WebScarab est une application utilisée pour réaliserdes tests de pénétration et d’attaques des applications web.

Le Top 10 des vulnérabilités les plus critiques des applicationsweb fourni par l’OWASP est une liste des sources d’attaques lesplus courantes, celles que tout développeur se doit de connaîtreet celles qui, lorsqu‘elles sont découvertes, nécessitent une cor-rection immédiate.

C’est donc un point d’entrée utile à tout programme de sensibi-lisation ou pour toute formation sur le sujet.

La dernière version de ce Top 10 se décline de la manière sui-vante :• A1 Saisie utilisateur non validée• A2 Contrôle d’accès défaillant• A3 Gestions des identités et des sessions défaillant• A4 Défauts permettant des attaques de type Cross Site Scrip-

ting (XSS)• A5 Débordement de tampons mémoire (Buffers Overflows)• A6 Défauts permettant l’injection de commandes systèmes• A7 Gestion des erreurs et des exceptions non sécurisés• A8 Stockage de données non sécurisé• A9 Déni de service• A10 Gestion de configuration non sécurisée

Comme l’indique cette liste de l’OWASP, la toute première sourcede vulnérabilité des applications logicielles réside dans les saisiesutilisateurs qui ne sont pas ou sont mal validées par l’application,notamment sur sa partie serveur. Les pirates utilisent ces saisiesutilisateurs non validées comme autant de points d’entrée per-mettant d’injecter des caractères de commandes et des scriptsd’attaque.

Les vulnérabilités ouvertes par l’absence de validation ou parune validation déficiente sont très extrêmement nombreuses etne varient qu’en fonction de la cible du pirate ou du point d’entréeutilisé par celui-ci : SQL injection, empoisonnement de cookies,débordement de tampons mémoire, trucage d’URL, Cross SiteScripting…

C’est pour cette raison que Howard et Leblanc dans leur livre« Ecrire du code sécurisé » (un des ouvrages fondateurs de pro-grammation sécurisée), résument la situation à un proverbe : « allinput is evil until proven otherwise » que l’on pourrait traduire par« toute donnée entrante est le mal, jusqu’à preuve du contraire » !

Exemple d’exploitation d’une saisieutilisateur non validée : l’injection SQL

Pour illustrer le danger de ces attaques mais aussi leur facilité demise en œuvre, prenons l’exemple très courant dans les applica-tions web des vulnérabilités de type injection SQL. L’injection deSQL est une technique d’attaque qui exploite le fait qu’une don-née entrante est directement utilisée, sans contrôle et sans vali-dation préalable, pour construire une requête SQLd’interrogation, de manipulation de données ou même est pas-sée en paramètre à procédure stockée SQL.

Un exemple typique est donné par une procédure de connexionà l’application dans laquelle l’utilisateur fourni un nom et un motde passe.

Dans l’exemple suivant, ici simplifié à l’extrême, les données entran-tes (variables MyUsername et MyPassword) sont utilisées directe-ment pour construire dynamiquement une requête SQL qui permetde vérifier si l’utilisateur a leur droit d’accéder à l’application :

MyUsername = Request.form("username");

MyPassword = Request.form("password");

var MyRso = Server.CreateObject("ADODB.Recordset");

var MySql = "SELECT * FROM users WHERE username = '" +

MyUsername + "' AND password = '" + MyPassword + "'";

MyRso.open( MySql, MyConnection );

Lorsque l’utilisateur de l’application se voit proposer de saisirson nom et son mot de passe, le pirate en lieu et place d’un nomcorrect saisi plutôt

Utilisateur : Jo’hn

Password :

La chaîne MySql construite dynamiquement est alors erronée :

SELECT * FROM users WHERE username = 'Joh’n'

AND password = ''

Si l’application renvoie le message suivant en provenance de labase de donnée, le pirate sait alors qu’il est en présence d’unevulnérabilité de type Injection de SQL :

Server : Msg 170, Level 15, State 1, Line 1

Line 1 : Incorrect syntax near 'hn'.

Figure 3 - Logo de l’OWASP


Par exemple, il va pouvoir exploiter la vulnérabilité de la manièresuivante :

Utilisateur : ' OR 1=1--

Password :

La chaîne MySql construite dynamiquement est alors la suivanteet permet au pirate de se connecter comme avec le premiercompte utilisateur stocké dans la table users :

SELECT * FROM users WHERE username = '' OR 1=1 --AND

password = ''

Pire ! Si le pirate exploite la vulnérabilité de la manière suivante :

Utilisateur : ' ; drop table users--

Password :

La table users risque d’être effacée de la base de données ! D’oùl’importance de donner le minimum de droit à une connectionbase de données.

Pour ceux qui se demanderaient comment le pirate connaît lenom de la table users, rien de plus simple :

Utilisateur : ' ; having 1=1--

Password :

La base de données retourne alors le message d’erreur suivantqui donne au pirate le nom de la table et le nom de la premièrecolonne de cette :

Column 'users.id' is invalid in the select list because

it is not contained in an aggregate function and there

is no GROUP BY clause.

Cette courte présentation montre à la fois l’importance essentiellequ’il y a à valider, à nettoyer les données entrantes de l’applicationpour au minimum s’assurer que ses données ne contiennent queles caractères autorisés mais aussi l’importance de masquer lesmessages d’erreurs grandes sources d’information pour les pira-tes.

La sécurité intégrée au cycle de viedéveloppement et de recette

La formation des équipes de développement bien que nécessairene suffit pas pour qu’une organisation produise des applicationsfiables et sécurisées. Il est indispensable de faire en sorte que lasécurité fasse partie intégrante de l’ensemble du cycle de vie del’application : depuis la rédaction des spécifications jusqu’auxtests avant mise en production.

Ainsi en amont, les spécifications doivent intégrer et décrire trèsprécisément l’expression du besoin et les attentes en terme desécurité. Interrogé par nos soins très récemment, le dirigeantd’une société de services informatiques nous a expliqué quemoins d’un projet de développement sur 10 intégrait des exigen-ces relatives à la sécurité lors de l’appel d’offres. Il nous préciseque les rares projets pour lesquels des exigences explicites enmatière de sécurité ont été faites émanaient de sociétés d’origineétrangères. Pour ces projets, les exigences couvraient non seu-lement les spécifications mais aussi des exigences en matière destandards de développement ainsi que dans le domaine de larecette de l’application et de la formation de l’équipe de dévelop-pement. Il nous indique aussi que cette absence de l’aspectsécurité dans l’expression du besoin est aussi le fait de secteurscomme celui de la finance ou du secteur public que l’on auraitimaginé plus soucieux quant à cet aspect.


Interrogé aussi à ce sujet dans ce numéro Monsieur Tournier deDeloitte nous indique aussi que cet aspect est trop souventignoré des appels d’offres : « chez les grands intégrateurs, lesaspects sécurité sont très rarement pris en compte, à moinsd’avoir été expressément demandés. C’est pourquoi, que lesdéveloppements soient effectués en interne ou par une SSII, ilfaut établir un cahier des charges qui formalise les exigences desécurité attendues. »

Toujours en amont dans le cycle de vie de l’application, les entre-prises soucieuses de la sécurité des applications ont souventcréé leurs propres guides et standards de développements logi-ciels ou ont mis à jour leurs standards qualité pour y introduiredes exigences précises en matière de programmation sécurisée.Les experts et praticiens de la sécurité logicielle font de la phasede conception une étape clé à laquelle il convient d’intégrer uneanalyse du risque de sécurité. Sur la base de ses outils et proces-sus de développement internes, Microsoft évangélise cette ana-lyse de risque sous l’appellation de Modélisation des Menaces,en anglais « Threat Modeling ». La modélisation des menacesselon Microsoft consiste d’une part à définir un modèle du sys-tème logiciel à produire en utilisant des diagrammes de flux dedonnées et des cas d’utilisation puis de décrire des cas d’atta-ques en partant de listes de menaces types et des ressourcesvisées comme points de départ. La modélisation des menacesconsiste donc à identifier les ressources, (également appelées« cibles d’attaque »), identifier les menaces (attaques types), éva-luer les risques, identifier les vulnérabilités puis établir un plan deréduction des risques.

Cette étape est importante, comme le souligne Gary McGraw dansson livre « Building Security In », non seulement parce que 50 %des vulnérabilités sont issues d’erreur de conception mais aussiparce que l’évaluation et la quantification de l’impact sont uneétape critique dans les approches basées sur les risques et quedès lors l’analyse de risque est une voie naturelle pour relier les pro-blèmes technologiques aux besoins des clients et au fonctionnel.

Dans le cycle de développement, la phase de codage est l’étapede tous les dangers. Nous avons vu plus avant que toute vulné-rabilité n’est en fin de compte qu’un défaut, un bug du logiciel quipeut être exploité par un pirate. Donc fondamentalement la priseen compte de la sécurité au cours de développement d’uneapplication relève de la mise en place d’un système d’assurancequalité sur la base du code source lui-même, à la racine du mal,une vérification de la qualité intrinsèque du code produit. Intégrerla sécurité dans la phase de développement, c’est avant touts’assurer le plus tôt possible dans le cycle que des erreurs deprogrammation ou des violations des règles de conception ouarchitecture ne sont pas introduites.

La méthode, toute manuelle et classique mais si peu miseen œuvre, a été celle de la revue de code par les pairs. Mais elleest extrêmement difficile et requiert une pratique régulière à 2voire 3 pairs d’yeux et beaucoup de temps. Et comme peu dedéveloppeurs apprécient cette activité et que les projets pré-voient rarement le temps nécessaire, les revues de code n’ontréellement jamais lieu, y compris dans les équipes Open Sourceoù cette pratique est censée être obligatoire. Brian Kernighan,

Conception Développement Tests Déploiement

Analyse statiquedu code

Testsd'Intégration

Tests Fonctionnels& Utilisateurs

ApplicationEn Production

1x

6.5x

15x

100x

Sources USSC & IDC and IBM Systems Sciences Institute

Evolution du coût de correction d'un bug au cours du cycle de vie


l’auteur de la célèbre bible de la programmation C, dit la chosesuivante à ce propos :« déboguer est au moins 2 fois plus difficile que programmer. Sivotre code source est aussi intelligent que vous puissiez le fairealors par définition vous n’êtes pas assez brillant pour le déboguer. »

Pourtant ces inspections et vérifications en amont ont toutesleurs justifications économiques comme le montrent les nom-breuses études sur la différence du coût de correction d’undéfaut en fonction du moment où il est détecté dans le cycle dedéveloppement (rapport de 1 à 100 sur le coût de la correctionsans prendre en compte les dommages éventuels).

L’automatisation de la revue de code et plus généralement l’ins-pection de la qualité du code source est en très bonne voie : ducôté des entreprises utilisatrices la demande est là, aiguillonnéenotamment par le développement de l’appel à la sous-traitanceet la nécessité de réduire les coûts tout en augmentant la qualitéde la production. Du côté de l’offre, les éditeurs de logiciels sontde plus en plus nombreux à proposer des solutions en la matièreet l’on voit se dessiner 2 approches différentes :D’une part des éditeurs qui à l’instar de CAST ou de Klocworkproposent à leurs clients de couvrir l’ensemble des besoins en

matière de qualité logicielle en couvrant les aspects robustesse,performance, évolutivité en même temps que la sécurité. Cetteapproche part du principe qu’une DSI a besoin de s’équiper pourcouvrir l’ensemble de ses besoins fonctionnels et ainsi que l’en-semble de ses applications quelles que soient leurs technolo-gies. Dans le cadre de cette approche, CAST propose avecl’Application Intelligence Platform une solution couvrant un spec-tre très large de langages de programmation analysés (J2EE,.NET à COBOL et SAP) et surtout offre la possibilité de détecterdes violations de règles de conception ou d’architecture en met-tant à profit la capacité de ses analyseurs à détecter les dépen-dances entre couches technologiques (appel direct depuis unecouche d’interface utilisateur à un programme COBOL ou à uneprocédure stockée en base de données par exemple).

D’autre part, ces dernières années ont vu l’émergence outre-Atlantique d’éditeurs de logiciels proposant des solutions d’ana-lyse de code source se focalisant spécifiquement sur la questionde la sécurité. C’est le cas d’éditeurs américains tels que FortifySoftware, Secure Software ou Ounce Labs. Ces solutions necouvrent qu’une partie des portefeuilles d’applications des DSI(technologies les plus récentes) mais s’appuient sur des bases deconnaissances pointues en matière de vulnérabilités.


Pour en savoir plus :

Les entreprises françaises plus concernées par leursécurité informatiquehttp://www.zdnet.fr/actualites/informati-que/0,39040745,39361912,00.htm

La défense en profondeur appliquée aux systèmes d’in-formationwww.ssi.gouv.fr/fr/confiance/documents/methodes/mementodep-v1.1.pdf

Bill Gates – Un Informatique digne de confiancehttp://www.microsoft.com/france/apropos/presse/bulle-tins/bulletin_20020718_fr.mspx

Howard & Leblanc - Ecrire du code sécuriséwww.amazon.fr/Ecrire-du-code-sécurisé-Howard/dp/2100067508

Le Guide de Développement d’Applicationset de Services Web Sécurisé(en anglais uniquement)http://www.owasp.org/index.php/OWASP_Guide_Project

A Taxonomy of Coding Errors that Affect Securityhttp://www.fortifysoftware.com/vulncat/

Secure Coding Guide :Introduction to Secure Coding Guidehttp://developer.apple.com/documentation/Security/Conceptual/SecureCodingGuide/index.html

« Software Security : Building Security In »par Gary McGraw – Addison-Wesleyhttp://www.amazon.fr/Software-Security-Building-Gary-McGraw/dp/0321356705/ref=sr_1_8/403-1474685-0696440 ?ie=UTF8&s=english-books&qid=1174536846&sr=8-8

«Exploiting Software : How to Break Code »par Greg Hoglund, Gary McGrawhttp://www.amazon.fr/Exploiting-Software-How-Break-Code/dp/0201786958/ref=sr_1_1/403-1474685-0696440 ?ie=UTF8&s=english-books&qid=1174537006&sr=1-1

Microsoft distribue gratuitement un outil de Modélisationdes Menaceshttp://msdn2.microsoft.com/en-us/security/aa570413.aspxRazak ELLAFI

Product Manager

Ces derniers produits génèrent encore beaucoup de faux positifslors de la détection de vulnérabilités et ils ne permettent pas ladétection des problèmes de sécurité liés à l'architecture (50%des problèmes de sécurité d'après McGraw).

Dans le cycle de développement, les tests de l’application doi-vent aussi contribuer à améliorer la sécurité. A la suite de larédaction des spécifications, l’équipe en charge des tests doitdévelopper un plan de tests incluant des cas de violations de lasécurité, ce que certains experts appellent des « Abuse Cases »par analogie aux « Use Cases » ou cas d’utilisations bien connus.Attention toute fois à ne pas confondre tests de sécurité et testsclassiques. Les tests de sécurité nécessitent de stresser l’appli-cation d’une manière très différente de ce qui est fait normale-ment et ces tests nécessitent de la part des testeurs desconnaissances en matière de sécurité (attaques types et scéna-rio d’attaques).

Pour cette phase du cycle de vie de l’application, de nouveauxoutils logiciels sont apparus récemment aux Etats-Unis qui aidentles équipes de tests et/ou les spécialistes de la sécurité à tester lavulnérabilité des applications avant leur mise en production. Leséditeurs de ces solutions sont Watchfire, SPI Dynamics, Cenzic…

Pour prévenir des attaques et/ou démontrer à des équipes dedéveloppement la vulnérabilité des applications qu’ils produi-sent, il peut aussi être intéressant et séduisant de faire appel àdes tests de pénétration réalisés par des équipes extérieures.Attention cependant ! Il faut toujours veiller à ne pas faire reposerl’ensemble de la politique de sécurité des applications sur cestests de pénétration. En effet, le résultat d’un test de pénétrationpeut correspondre à une faille ou une série de failles mais n’apas pour objectif d’être exhaustif.

Conclusion

Pour relever le défi de la sécurité des applications, l’éducation del’ensemble des acteurs et le développement d’expertise internesont essentiels mais doivent nécessairement s’accompagnerd’une amélioration des processus de développement et derecette pour y injecter cette expertise et faire de la sécurité unepréoccupation de tous les instants. �

www.castsoftware.com

Pour compléter votre bibliothèquede référence technique,commandez vite les anciens numéros*d’IT-expert à tarif préférentiel !

IT-expert n°52Novembre/décembre 2004

DOSSIER : L’urbanisation des systèmesd’information• L’urbanisation suffit-elle à rationaliser le parc

applicatif d’entreprise ?• La gestion de contenu• Interview Bouygues Télécom• Continuité d’activité : le choix des armes

IT-expert n°58Novembre/décembre 2005

DOSSIER : L’intégration de contenu,un problème bien réel• Les JavaServer Faces face à Struts• Sybase Adaptive Server Enterprise 15• Interview de Nicolas Maquaire,

Président de l’éditeur Français EntropySoftZoom client SAINT-GOBAIN

• Informatique et téléphonie :à quand la convergence ?

IT-expert n°57Septembre/Octobre 2005

DOSSIER : Equiper les forces de terraind’une solution mobile• La gestion des utilisateurs centralisée ou le

provisioning• Les alternatives à la suite bureautique

Microsoft• Les Tags RFID : révolution technologique ou

cauchemar• Les solutions Linux

IT-expert n°56Juillet/août 2005

DOSSIER : La veille et ses outils• L’interopérabilité des systèmes d’informa-

tions : fantasme ou perspective ?• SQL Server 2005• Les clés du succès en gestion des

métadonnées• Interview SCOR• Consolidation de messagerie, dimensionne-

ment du réseau : Le juste équilibre

IT-expert n°59Janvier/février 2006

DOSSIER : Vers un standard pour le pilotagedes coûts informatiques - Un levierde performance économique : AB C/ABM• Contrôle des développements externalisés

& solutions de gouvernance• K9a : une nouvelle grille de lecture pour la conduite

agile de projets de systèmes d’information• Interview de Jérôme Dupont, Directeur

Conventions & Projets du GIP-MDS• La guerre des processeurs aura-t-elle lieu ?

IT-expert n°63Septembre/Octobre 2006

DOSSIER : La géolocalisation• Géolocalisation, les techniques alternatives

au GPS• Le positionnement par GPS• Géolocalisation, tout n’est pas permis…• Interview de Me Gérard HAAS, Docteur en droit• Recyclage des e-déchets

IT-expert n°62Juillet/août 2006

DOSSIER : Panorama sur les techniquesAgiles• PHP5, une alternative à .NET et J2EE ?• Eclipse : le Big Bang Callisto• Test Driven Development• Interview d’Elisabeth Le Boité, Responsable

Qualité et Système d’Information du SIBSyndicat Interhospitalier de Bretagne

• Qui arrêtera Google ?

IT-expert n°61Mai/juin 2006

DOSSIER : Optimiser innovations ettransformations en gérant le portefeuillede projets et d’applications• Subversion : le grand départ ?• L’accessibilité numérique• Wi-Fi

IT-expert n°64Novembre/Décembre 2006

DOSSIER : Capital Immateriel• Windows Vista : le nouveau système

d’exploitation de Microsoft• Les curseurs sous SQL Server• Interview de Mme Seigneur, Directeur

Informatique du Conseil Général de Vendée• Wimax

* D

ans

la li

mite

des

sto

cks

dis

pon

ible

s


www.it-expertise.com

Je souhaite acheter les numéros suivants

Adresse d’expédition & de facturation

IT-expert n°60Mars/avril 2006

DOSSIER : La qualité des applications dévelop-pées en technologies objet• L’industrialisation des développements au secours

des échecs projets• Environnements de Développement Intégrés• Urbanisme des Systèmes d’Information versus

Architecture d’Entreprise• Interview de Monsieur SAINT-ALME,

Responsable NTIC chez AG2R• Contrôle d’accès au réseau

IT-expert n°65Janvier/Février 2007

DOSSIER : Web 2.0 entreprise, quelles réalités ?• ITIL et ISO20000• Logiciel libre : Qu’exiger de son prestataire

informatique ?• Les wikis : définitions fonctionnelles et techniques• Interview de Monsieur Kabla, DSI de Dassault Systèmes

Ventes France• Une approche structurée de la certification du réseau :

l’audit automatique du réseau et la validation deschangements des configurations

IT-expert n°53Janvier/février 2005

DOSSIER : La gouvernance du systèmed’information• Le projet LDAP• Firefox votre prochain navigateur ?• JSF versus Webforms• Interview Intermarché• L’entreprise sous le feu de la guerre

de l’information

Année 2004� N° 52

Année 2005� N° 53� N° 56� N° 57� N° 58

Pour commander les anciens numéros d’IT-expert, il vous suffitde nous renvoyer ce document à l’adresse suivante :

IT-Expert3, rue Marcel Allégot - 92190 Meudon - France

Tel : +33 (0)1 46 90 21 21 - Fax : +33 (0)1 46 90 21 20

� Mme � Mlle � M.

Nom

Prénom

Société

Fonction

Adresse

CP

Ville

E-mail

Tél

Fax

� Chèque joint à l’ordre de Press & Communication France

� Règlement à réception de facture

Date :Signature obligatoire :

Offre Spéciale

Tarifs TTC (TVA : 5,5 %)� 1 exemplaire : 8€ � 10 exemplaires : 60€� 5 exemplaires : 35€ � Autre quantité :

Année 2006� N° 59� N° 60� N° 61� N° 62� N° 63� N° 64

Année 2007� N°65

Technique


Sur le ring du Web 2.0 viennent s’affronter de nouvelles

technologies d’interfaces révolutionnant l’expérience

des utilisateurs et le paradigme des développeurs : d’un

côté le poids léger AJAX, de l’autre le lourd léger FLEX.

Nous verrons que ces deux technologies ne s’affrontent

pas réellement, elles sont complémentaires et chacune a

ses spécificités et donc ses domaines d’application. Une

nouvelle (r)évolution technologique et ergonomique est

en marche, cet article a pour objectif de vous accompa-

gner dans la découverte des RIA en vous faisant part de

nos retours d’expérience émanant de plus de 2 ans de

pratiques.

Présentation

� Historique

Au commencement de l’Internet, seul existait le langage HTMLpermettant de créer des documents en ligne, et introduisant leconcept de l’« hyper navigation ». Ces pages HTML des pre-miers jours étaient statiques, et devaient être mises à jourmanuellement.Par la suite, des technologies serveurs permettant de générerdes pages HTML firent leur apparition. Elles contribuèrent gran-dement à l’expansion d’Internet en introduisant une participa-tion active de l’utilisateur dans ce qui commençait à ressemblerà une application.Les progrès techniques aidant, les applications en ligne se géné-ralisèrent et devinrent de plus en plus complexes, jusqu’à abou-tir à la situation actuelle, où quasiment tous les sites Web sontdynamiques et offrent les fonctions les plus variées.Aujourd’hui, ce système a atteint ses limites car les utilisateursdemandent de plus en plus de fonctions et d’ergonomie, et lesanciennes technologies ne suffisent plus.

RIA(Rich Internet Application) :

définitions etpanoramades solutions


Nous sommes entrés dans l’ère du « tout en ligne », et les nouvel-les applications seront de plus en plus construites selon le para-digme RIA.

� Qu’est ce qu’une RIA ?

Les « Applications Internet Riches », ou « RIA » en abrégé, consti-tuent une nouvelle famille d’applications informatiques, en ligneet possédante une interface utilisateur « riche ».

Une RIA possède tout ou partie des caractéristiques suivantes :• Un serveur Web héberge et distribue l’application à ses utilisateurs• Aucune installation n’est requise, il suffit de disposer d’un

navigateur Internet moderne (avec éventuellement un plug-inspécifique déjà installé)

• L’interface utilisateur est « riche » et dynamique, et l’ergonomieest équivalente à celle des applications traditionnelles

• Les données utilisées sont transmises par le réseau, Internetou intranet

• Les données et l’interface utilisateur sont généralement bienséparées

• Les performances sont équivalentes à celle des applicationstraditionnelles car l’interface utilisateur (page Web) n’est pasréaffichée à chaque nouvelle demande

• Une compatibilité avec plusieurs plate formes et systèmesd’exploitation

• Il n’y a aucun risque de comportement malicieux (aux failles desécurité près) envers le poste client

Notons par ailleurs que le terme "Rich Internet Application" a étéintroduit dans une publication de Macromedia® (maintenantAdobe Systems®) en mars 2002.

� REA

Les REA, ou « Rich Enterprise Application » constituent une classeparticulière d’application RIA destinées aux utilisateurs profession-nels, par opposition aux RIA qui sont conventionnellement orientéesvers le grand public. En effet, les applications Web à usage profes-sionnel sont de plus en plus répandues, et souffrent des mêmesdéfauts que leurs homologues grand public.

L’accroissement de productivité promis par les applications RIArend attractif la conversion des applications Web, car généra-teur de valeur au niveau de l’application, de sa maintenance et deson potentiel fonctionnel.

Les RIA sonnent le glas des applications Web 1.0. Ces applica-tions Web de première génération entrent dans une phase d’ob-solescence. La conversion des applications dites Legacy offred’incroyables perspectives aux RIA. Les projets en sont innom-brables, citons par exemple :• Les applications dites « back-office » de gestion interne (res-

sources, planning…)• Les frontaux des grands progiciels d’entreprise (ERP) souvent

réalisés en HTML• Les applications terminales des agents en contact avec les

utilisateurs (banques, administrations, etc.)

� RDA

Dans la mouvance rapide des systèmes applicatifs, les RDA, ou« Rich Desktop Application » viendront prochainement comblersimultanément les lacunes des RIA et des applications autono-mes, tout en conservant leurs avantages respectifs. En effet,comme les RIA, les RDA sont des applications en ligne etconnectées, mais elles pourront en plus utiliser les ressourceslocales du poste client, telles que le système de fichier ou leréseau local. Le premier environnement de développement RDAmulti plateformes est actuellement en cours de développementpar Adobe Systems, sous le nom de « Apollo ». Dans le mondeWindows, le système Vista permet aussi de développer ce typed’applications, mais qui ne pourront fonctionner que sur ce sys-tème d’exploitation.

Justification des RIA

� Comparaison avec les applications Web 1.0

Les RIA sont des applications Web, et ont donc en commun le faitd’être accessibles en ligne, comme n’importe quel site ou appli-cation Web 1.0. Les applications Web 1.0 traditionnelles s’articu-lent sur une architecture purement serveur : les traitements sontréalisés sur les serveurs (Web, Java, SQL…) et le client secontente d’afficher les résultats envoyés par le serveur, le plussouvent sous forme de HTML.

Dans une RIA, seules les données sont échangées, l’interfacedemeurant sur le poste client une fois installé. Les RIA sont auto-nomes sur le plan du rendu de l’interface : une fois l’applicationtéléchargée depuis le serveur, le « container » client (browserWeb, plugin) se charge lui-même des réaffichages des écrans, etseules les données circulent sur le réseau.

Parce qu’une RIA dispose des ressources d’affichage et de cal-cul du poste client, elle est potentiellement plus performante etplus agréable à utiliser que les applications Web HTML.

� Avantages

Pour les utilisateurs, les RIA offrent les bénéfices suivants :• Aucune installation de logiciel en local, ce qui élimine aussi pas

mal de risques (virus, poste verrouillé par l’administrateur)• Des mises à jour automatiques et transparentes par le réseau

(à la manière d’une page HTML)• Des performances supérieures à celles des applications Web• Une expérience d’utilisation nouvelle et motivante• Des fonctionnalités plus nombreuses et variées• L’accès aux données présentes sur Internet grâce à l’utilisa-

tion des nombreux WebServices aujourd’hui disponibles• Une meilleure productivité dans l’accomplissement des

tâches

Pour les développeurs Web traditionnels, la situation n’est pas siclaire. En effet, ils devront apprendre et maîtriser de nouveauxoutils et, selon les outils utilisés, la facilité de développement et demaintenance pourra s’améliorer, ou se dégrader. Indépendam-


ment des différences entre les technologies RIA actuelles, lesdéveloppeurs bénéficieront de possibilités techniques nouvelleset excitantes, qui leur permettront d’exprimer plus pleinementleur créativité.

� Inconvénients

Du côté des utilisateurs, les inconvénients sont relativement peunombreux, et on pourrait citer par exemple :• Une incompatibilité totale ou partielle avec certains naviga-

teurs (pour les applications Ajax)• Une perte des repères usuels, induits par les manières nouvel-

les d’utiliser les logiciels en ligne, qui pourra demander unepériode d’adaptation (généralement courte)

En revanche, pour les développeurs, la réalisation d’applicationsRIA est une tâche complexe et relativement difficile à mettre enœuvre, notamment pour les raisons suivantes :• Nouvelles technologies, nombreuses et variées, utilisant diffé-

rents langages• Nouveaux paradigmes de développement• Nouvelles architectures, en particulier sur le poste client• Interfaces utilisateurs plus difficiles à concevoir en raison de

leur richesse accrue

Selon la technologie de développement retenue, ces difficultésseront plus ou moins grandes, et il faudra donc la choisir avec unsoin attentif.

� Tableau comparatif

Le tableau ci-dessous indique quels sont les principaux avanta-ges de chacun des types d’application étudiés ici :

On voit bien que les applications RIA offrent le meilleur de cha-cune des deux technologies, suivies de peu par les applicationsRDA qui en complètent les possibilités.

Technologies

� Présentation

Comme c’est souvent le cas en informatique lors de l’introductionde nouveaux concepts, il existe aujourd’hui une multitude detechnologies RIA différentes, qui sont plus ou moins complexeset bien outillées, et qui procurent aux développeurs des avanta-ges et des inconvénients différents.

En attendant la concentration de ces technologies, il estaujourd’hui peu aisé de faire un choix parmi une telle profusion. Etce d’autant plus que l’investissement initial – nécessaire à la maî-trise de la technologie choisie – est important, car les technolo-gies de développement RIA sont complexes.

Nous allons donc nous concentrer ici principalement sur les dif-férences entre les différentes technologies et outils de dévelop-pement RIA, afin d’en dégager les avantages et inconvénientsrespectifs, du point de vue des développeurs d’application etdes exploitants.

� Critères techniques

Les technologies RIA seront comparées selon les critères princi-paux suivants :• Multi plateforme : le caractère multi plateformes des

applications• IDE : la présence ou non d’un environnement de développe-

ment intégré inclut avec la plateforme de développement(SDK)

• Outillage : la disponibilité, la qualité et la puissance des outilsde développement utilisés, qu’ils soient fournis ou non avec leSDK

• Langage : la puissance et la richesse des différents langagesde développement, qui sera répartie à son tour selon les souscritères suivants :

• Orienté objet (POO)• Dynamique (type langage de script)• Typé strictement• Compilé en code natif ou en pseudo code pour une

machine virtuelle• Connecteurs : la disponibilité et la richesse des connecteurs

vers le Système d’Information (« Back-Office »)• Widgets : la présence et la richesse d’une libraire de compo-

sants d’interface graphique de base, ou « widgets »

� Comparaison des environnements RIA

Le tableau suivant répartit les principales technologies RIA multiplateforme d’aujourd’hui, selon les critères présentés plus haut(ce qui exclut Vista accompagné de sa technologie WPF/XAML) :

• Laszlo : système Open Source analogue à Flex, à base deXML d’interface et de JavaScript compilé en applicationsFlash, et maintenant aussi Ajax

• Flex : cf ci-après notre section consacrée à Flex

Web 1.0 RIA Autonome RDA (HTML)

Pas díin stallation X X X

Mises à jour X X X automatiques

Interface riche X X X

Accès aux X Xressources client

Données en ligne X X Xsur Internet

Accès réseau (sockets) X X X

Multi plateforme X X X

Productivité de X X Xl’utilisateur


• Applets Java : bien que très puissantes elles sont souventpeu esthétiques et pénibles à développer

• XUL : la plate forme open source Mozilla permet de dévelop-per des RIA/RDA en utilisant un langage interne (XML) de des-cription d’interfaces. Ces applications seront cependantlimitées à une exécution dans un framework Mozilla

• ASP.Net / Ajax : dans la mouvance Ajax, Microsoft propose àson tour des outils de développements autour du framework.Net, pour des applications Ajax

Ajax

� Présentation

Ajax, pour «Asynchronous JavaScript and XML» est représenté parune multitude d’outils, de langages et d’approches différentes, pro-posés par différents acteurs du marché et de la communauté infor-matique globale. Ajax est basé sur l’échange de XML avec leserveur et la manipulation directe du contenu HTML par des pro-grammes JavaScript exécutés dans le navigateur Internet.

De plus en plus d’éditeurs et d’acteurs du Web de premier planproposent des environnements de développement Ajax, etnotamment Google avec GWT (Google Web Toolkit), qui permetaux développeurs de développer directement en Java et d’êtreainsi plus productifs (qu’en JavaScript), mais aussi Yahoo avecYUI ou encore Microsoft avec ASP .Net pour Ajax.

De plus, de nouveaux acteurs spécifiques proposent des envi-ronnements et des librairies de composants de plus en plusmatures, comme Backbase, qui dispose d’une librairie de com-posants très fournie. Il existe aussi des environnements Ajax enOpenSource, comme les projets Dojo ou Prototype qui font réfé-rence aujourd’hui.

� Principes

Les points essentiels à comprendre ici sont :• L’interface utilisateur d’une application Ajax est constituée par

une combinaison de HTML et de feuilles de style CSS2, c’estla partie déclarative

• La partie impérative (le code) est formée de scripts écrits enJavaScript

• Les principales fonctions des scripts sont de contrôler l’affi-chage de l’application, en manipulant la page HTML (via leDomain Object Model interne, ou « DOM ») et de communi-quer avec un ou plusieurs serveurs de données du Web oud’ailleurs. Cette opération est réalisée grâce à la fameuse API« XMLHttpRequest » du langage JavaScript.

� Complexité

Compte tenu des différentes technologies rencontrées dans uneapplication Ajax, même relativement simple, on comprend que cetype de développement est complexe et difficile. En effet, undéveloppeur Ajax devra généralement maîtriser les technologieset langages tels que HTML et DOM, les feuilles de style CSS etCSS2, le langage JavaScript et au minimum une technologie ser-veur comme par exemple PHP, JAVA/J2EE, ASP.NET.

� Outillage

En plus d’être complexes, les applications Ajax sont aussi diffici-les à mettre au point car on ne disposera pas forcément de tou-tes les fonctionnalités d’un IDE moderne, telles que facilité dedéboguage, inspection de variables, ou encore de saisie prédic-tive, de refactoring, de tests unitaires, etc.Les outils de développement JavaScript et CSS ont cependantfait de gros progrès récemment et on commence à trouver desoutils de développement performants.

� Avantages

Les applications Ajax offrent les avantages communs aux appli-cations RIA, avec en particulier :• Une intégration totale aux pages Web, permettant l’affichage

de contenus HTML, et autorisant une migration « en douceur »des applications ou pages HTML vers leurs homologues Ajax

• Une amélioration immédiate et évidente de l’expérience utili-sateur grâce à une interface utilisateur offrant une ergonomietrès supérieure à celle des applications HTML traditionnelles

• Une amélioration potentielle du design interne des applica-tions Web 1.0, car Ajax tend à encourager les programmeursà séparer clairement les méthodes et les formats utilisés pouraccéder aux données

• La réutilisation des connaissances techniques des dévelop-peurs dans le domaine HTML / JavaScript / CSS

Technologie IDE Outils Langage (*) Connecteurs Widgets

O D T C

Ajax X X variable variable

Flex / Flash (Adobe) X X X X X X X X

Laszlo (Laszlo Systems) X X X X X

Applets Java (Sun) X X X X X SDK Java X

XUL (Mozilla) X X X X

ASP .Net/Ajax X X X X X X

(*) LangageO : Orienté objet (POO) - D : Dynamique (type langage de script) - T : Typé strictement - C : Compilé en code natif ou en pseudo code pour une machine virtuelle


� Inconvénients

Les inconvénients de ce système sont notamment :• La difficulté du choix d’une technologie particulière, étant

donné la grande diversité des systèmes proposés, et leur noncompatibilité entre eux

• Le manque d’environnement de développement évolué deréférence, ce qui peut pénaliser la productivité des développe-ments

• La grande complexité du développement multi technologies,aggravé par certaines difficultés d’intégration au navigateur(telles que la gestion correcte de l’historique de navigation)

• La fiabilité relative du langage JavaScript qui peut être implé-menté différemment par les différents navigateurs, ou par dif-férentes versions d’un même navigateur. Ce point alourditnotablement le coût des tests car les applications devraientêtre testées sur les principaux navigateurs du marché et leursdifférentes versions

� Applications

Les applications sont diverses et on en trouve aujourd’hui sur ungrand nombre de sites Web, ce qui est le domaine de prédilectiond’Ajax. En effet, la capacité de manipulation du contenu des pagesHTML rend Ajax incontournable dès lors qu’il s’agit de développerdes applications RIA à fort contenu HTML, ou qui doivent s’intégrerfinement au sein d’une page HTML (avec par exemple des compo-sants Ajax dans différentes zones de la page).

En revanche, si l’application est plutôt monolithique et/ou qu’elleimplémente une logique métier complexe, le système Ajax serapénalisé par sa complexité technique et par la faible productivité dedéveloppement et de maintenance qu’il offre aux développeurs.Les applications seront généralement plutôt destinées au grandpublic, et on en trouvera un peu partout sur le Web comme parexemple les nouveaux web mail Ajax (GMail, YahooMail), les sitesmarchands et les applications de voyage en ligne.

Flex

� Principes

Flex (actuellement en version 2.01) est un environnement dedéveloppement complet basé sur :• L’IDE Eclipse pour la programmation, la compilation et le

déboguage• Le langage ActionScript (version 3), langage à objets, fortement

typé, qui possède des caractéristiques dynamiques et qui estarchitecturé autour de la notion de composants réutilisables

• Un équivalent XML de ActionScript, nommé MXML, et per-mettant de décrire l’interface utilisateur d’une application àl’aide de balises XML (de manière analogue aux pages HTML)

• FlashPlayer (version 9) comme socle d’exécution des applica-tions Flex compilées (en fichiers SWF, le format binaire exé-cuté par FlashPlayer)

• Une librairie de classes et des interfaces de programmationpermettant de réaliser toutes sortes d’applications RIA

• Une librairie de composants de base (widgets) extensible pourréaliser les IHM

� Complexité

Flex repose avant tout sur la maîtrise des langages ActionScriptet MXML, ainsi que sur la connaissance des librairies de classesfournies, et dans une moindre mesure sur celle des interfaces deprogrammation du player Flash. A la différence des applicationsAjax qui utilisent un mélange varié de plusieurs technologies dif-férentes, les applications Flex sont construites autour d’une tech-nologie unique, dont l’apprentissage est facilité par unedocumentation de grande qualité comportant de nombreuxexemples. On notera également que les codes sources de lalibrairie standard Flex sont fournis, ce qui facilite encore la com-préhension et la mise au point des applications.

� Outillage

Les applications Flex seront développées à l’aide de l’IDE « Flex-Builder », constitué de la plate-forme Eclipse et d’une extensionspécialisée.

C’est un environnement de développement intégré aux innom-brables fonctions, telles que :• Edition, compilation et déboguage pas à pas• Gestion de projets de développement• Intégration avec des systèmes de gestion de versions et de

configuration (CVS, Subversion…)• Saisie prédictive du code : complétion automatique des varia-

bles, accès aux méthodes et aux propriétés• Editeur visuel d’interfaces (RAD), mode d’édition mixte

� Avantages

Pour les développeurs, les avantages de Flex sont nombreux, eton pourra citer par exemple :• Un environnement de développement très puissant• Des langages de développement Objet (AS3, MXML) simples,

puissants et productifs• Un paradigme de programmation à base de composants per-

mettant de créer très simplement des composants réellementréutilisables

• La richesse de l’API Flash, des composants et des widgetsfournis

• Des capacités de prototypage et de développement rapideconférant une excellente productivité aux développeurs

• La maturité et la disponibilité de la technologie Flash• Les possibilités variées de communication avec des serveurs

Back-Office, au travers de différents protocoles : REST/http,SOAP, XML/RPC, RPC Java/AMF, etc.

• La présence optionnelle de composants serveurs J2EE, quirenforcent encore les capacités de communication des appli-cations, notamment avec un système de messagerie sur leréseau et avec le protocole AMF pour les échanges d’objetsentre ActionScript/client et Java/serveur

• Une maintenance plus aisée, notamment grâce à l’utilisationde composants réutilisable


� Inconvénients

Les principaux inconvénients de Flex sont :• La technologie n’est pas open source, et les sources des

librairies Flash ne sont pas fournies (bien que ceux des librai-ries Flex le soient)

• Le prix relativement élevé des composants serveur (Flex DataService)

• L’impossibilité d’afficher du contenu HTML riche dans lesapplications Flex (qui disparaîtra avec le futur système Apollo,grand frère annoncé de Flex)

� Applications

Les qualités de Flex en font un outil de choix pour toute uneclasse d’applications riches en fonctionnalités, par exemple :• Applications spécialisées sur un métier• Applications d’analyse et représentation statistiques• Applications de commerce en ligne• Applications de communication : chat, RSS, clients mails…• Applications audio / vidéo

Conclusion

� Quelle technologie choisir ?

Flex ou Ajax ? Le choix d’une technologie RIA n’est pas évident,il faut tenir compte des besoins et contraintes de l’application, dupublic visé, et se prémunir contre les risques d’obsolescencedes technologies en évolution rapide.

Le tableau ci-dessous donne une indication sur les technologiesles plus adaptées en fonction de certains critères :

Si l’on choisit la technologie Ajax, il restera encore à choisir leslibrairies et les outils les mieux adaptés à l’application à dévelop-

per, ce qui constitue un choix assez épineux, comme on l’a expli-qué précédemment.

Les technologies Ajax les plus prometteuses aujourd’hui sontmalgré tout concentrées autour de :• Google Web Toolkit, parce qu’il permet de développer en

Java, et d’oublier JavaScript• Backbase pour ses facultés de description de page et ses

librairies de composants• Dojo ou Prototype pour leur caractère OpenSource

Cette liste est évidemment loin d’être complète et on fera diffici-lement l’économie d’une étude approfondie des frameworks Ajaxavant de se lancer dans un développement Ajax complexen. �

Critère Technologies

Multi plateformes Ajax, Flex, Laszlo

Gestion de contenu HTML Ajax

Intégration fine à une page HTML Ajax

Application B2B Flex, Ajax

Application B2C sur le Web Ajax, Flex

Tableaux de bord Flex, Ajax

Productivité et maintenabilité Flex

Intégration au Système d’Information Flex, Ajax

Performances de calcul Applets Javaet d’affichage maximum

Kap IT (www.kapit.fr) est une société de conseil, de recherche etde développement logiciel, fournisseur d’application Web 2.0,spécialisée en RIA (expert Flex) et Wiki (expert XWiki).Depuis près de 10 ans, nous améliorons l’expérience des utilisa-teurs en leur fournissant des applications et des interfaces inno-vantes.Nous accompagnons les grandes entreprises, les SSII et les édi-teurs dans la réalisation de leurs projets de création ou moder-nisation d’application/site RIA, de reporting dynamique RIA,et de mise en place d’espaces collaboratifs WIKI.

Notre objectif : fournir des applications plus ergonomiques, pluscommunicantes, plus flexibles et plus faciles à maintenir.Contactez-nous : [email protected]

Julien REVEL,Directeur R&D et Co-fondateurde Kap IT15 ans de R&D Logiciel dont 10 ansen tant que Directeur R&D, Entrepre-neur co-créateur de plusieurs socié-tés (Wincap, Soamai, AdvancedTechnology Agency, Kap IT), Doc-teur es Science

Et toujours des informations sur nos partenaires,sur les sommaires des numéros d’IT-expert

http://www.it-expertise.com :un complément d’informationsà la version papier que vous receveztous les 2 mois !



Et retrouvez de nouveaux services :• un moteur de recherche pour trouver les informations techniques qui vous intéressent• une nouvelle offre d’abonnement qui vous permet d’accéder aux anciens numéros

d’IT-expert en format pdf• les livres blancs techniques d’éditeurs de logiciels, de SSII, de nos partenaires…

dans une rubrique "téléchargements" ouverte à tous !

Actualités internationales


Actualitésinternationales

Oracle et Sun travaillent de concert pour tenter derésoudre un bogue de la plate-forme J2SE quiempêche la certification des versions 11i et 12 duclient E-Business de l’éditeur sur Windows Vista.Aucune date n’est pour l’instant prévue pour cettecertification qui, selon Oracle, ne constitue toute-fois pas une demande forte du marché.

IBM et Cisco ontannoncé la mise enplace d’un service des-tiné à assister les gou-vernements et les

entreprises à faire face aux situations catastro-phiques. Les difficultés de communication entreles multiples intervenants sont clairement appa-rues à l’occasion des attentats du 11 septembre2001. Le service conjoint vise la continuité desopérations, l’interopérabilité des réseaux et leretour à la normale des systèmes. L’offre, pré-sentée sous forme de service hébergée pour unticket d’entrée de 100,00 $ par an, est adaptableet peut comprendre le déploiement de véhiculespré-équipés pour le déploiement d’un réseauinternet sur le terrain des opérations.

Cisco s’apprête à faire l’acquisition de lasociété WebEx pour la somme de 3,2 mil-liards de dollars. WebEx propose sousforme d’abonnement des services deconférence vidéo et données permettantnotamment le partage de documents etd’espace de travail. Avec cette acquisi-tion amicale, Cisco entre sur le marchédes applications hébergées et devient unconcurrent de Microsoft Live Meeting.Elle permet également au fabricant dematériel réseau d’envisager une pénétra-tion du marché des PME sur lequel il esttraditionnellement peu présent.

Les préoccupations concernant l’avenir écologique de la planètetrouvent un écho auprès des fabricants de puces. Durant l’année2006, Intel a ainsi réduit de moitié la consommation électrique de sespuces et d’un quart leur taille. Le fondeur espère que les puces qu’ilproduira en 2008 seront 85 % plus petite et consommeront 10 foismoins que celles fabriquées en 2006. Les gains en taille et enconsommation s’expliquent par le passage d’une technologie de90 nanomètres à 65 nanomètres pour la plupart des puces. Unsecond saut est sur le point de débuter avec l’arrivée de la techno-logie à 45 nanomètres. A ceci Intel compte ajouter les bénéfices desa technologie de cache Turbo Memory qui repose sur l’utilisation demémoire flash qui ne nécessite pas de courant pour conserver lesinformations. Elle permet donc de conserver de manière persistanteles données les plus couramment accédées et donc de réduire lesaccès aux disques durs, très consommateurs d’énergie.



Pour la première fois en un an et demi, le train de mises à jour deMicrosoft pour le mois de mars ne comprenait aucun correctif desécurité. Cela ne signifie évidemment pas qu’il ne reste plus defaille de sécurité connue dans les logiciels de l’éditeur, mais bienque les correctifs dans ce domaine pour Internet Explorer 7,Office Publisher 2007 et Windows Vista n’était pas prêt à êtredistribués.

Selon certains analystes, la productivité des entreprisesaméricaines et la disponibilité de la bande passante desréseaux devraient chuter significativement aux Etats-Unisdurant la seconde quinzaine de mars. Ce phénomène, qui sereproduit chaque année à la même période est à imputer autournoi universitaire de basket-ball qui devrait générer cetteannée près de 4 milliards de dollars de paris. Les 31 % de sitessportifs et 56 % de sites de paris de plus que l’année dernière àla même époque, devraient enregistrer des audiences record.Dès le second jour du tournoi, ce sont 5,9 millions de visiteursuniques qui se sont connectés à partir de leur lieu de travail surles sites du tournoi et 4,8 millions à partir de leur domicile. Lagénéralisation des flux vidéo et du suivi de l’action en tempsréel ajoute évidemment à la consommation de bande passante.Les grands événements sportifs sont par ailleurs l’occasiond’une recrudescence de l’activité des pirates de l’internet, àl’image du piratage le mois dernier du site du Super Bowl afin dedistribuer des logiciels malveillants aux visiteurs du site.

La Commission Européenne s’inquiète de la faible proportion defemmes employées dans le secteur des technologies de l’infor-mation, d’autant que le nombre de diplômées dans ce secteur enEurope est en diminution, passant de 25 % en 1998 à 22 % l’annéedernière. Cette moyenne ne rend pas compte d’écarts importantsentre les pays (6 % au Luxembourg et 41 % en Lituanie). S’expri-mant à l’occasion de la journée de la Femme, Viviane Reeding, Com-missaire Européen à la Société de l’Information et aux Média a déclaréque « un nombre plus important de femmes dans le secteur des tech-nologies de l’information serait à la fois un moteur du changement etun renfort majeur pour ce secteur d’activité clé en Europe ».

La SEC (autorité de marché américaine) asuspendu pour 10 jours ouvrés la cotation de35 sociétés ayant fait l’objet de campagned’e-mailing massive concernant l’imminencede l’envol de leur cours. Cette action excep-tionnelle, et les mesures qui devraient suivre,semble indiquer que la SEC est plus quejamais décidée à combattre vigoureusementla pratique consistant à faire grimper artifi-ciellement au moyen de spam le prix et levolume de transactions de petites sociétés.Au bout de quelques jours, la campagnecesse et le cours retombe à sa valeur précé-dente, au détriment d’investisseurs trop cré-dules. Selon la SEC les spams de cettenature représentent plus de 100 millionsd’envois par semaine.

Oracle renforce son implication dansla Fondation Eclipse en rendant dis-ponible la totalité du code source de sacouche de persistance Java : TopLink.Dans le même temps, l’éditeur entre auboard de l’association et devient déve-loppeur stratégique. La propriétéd’Oracle sur TopLink résultait de l’ac-quisition de WebGain en 2002.

L’acquisition d’Hypérion par Oraclepour un montant de 3,3 milliards dedollars ne semble pas du goût detous les utilisateurs du logiciel deBusiness Intelligence. Ces derniersconsidèrent avec appréhension cettenouvelle acquisition qui fait suite à cellede Siebel et réduit encore un peu plusle choix dans ce domaine. Pour autant,cette acquisition possède une réellejustification si l’on considère la qualitédes produits Hyperion dans les domai-nes de la gestion budgétaire et de laconsolidation financière pour lesquelsOracle souffre historiquement d’undéficit par rapport à son grand concur-rent SAP. Reste à savoir si Oracle ten-tera d’une manière ou d’une autre deforcer ceux de ses clients qui utilisentHyperion sur un SGBD concurrent dusien à migrer vers Oracle.

L’institut d’analyse IDC arevu à la baisse ses prévi-sions concernant la crois-sance du marché desserveurs à base de proces-

seurs x86. En cause, la demande croissante de processeursmulti-cores et l’engouement pour les logiciels de virtualisationdu matériel. De 2006 à 2010, la croissance mondiale ne seraitplus que de 39 %, contre 61 % initialement prévue. L’ajuste-ment porte sur rien moins que 4,5 millions de serveurs représen-tant 2,4 milliards de dollars.



Microsoft a annoncé son ral-liement à l’alliance OpenAjaxdont le but est de promouvoiret de faire évoluer les technolo-gies Ajax. L’éditeur rejoint ainsi

71 autres membres dont Borland, IBM, Novell, Oracle etRedHat. L’alliance entend établir des recommandations dansles domaines de l’interopérabilité, de la sécurité, des commu-nications client-serveur et de l’intégration au sein des serveurset des environnements de développement.

Une proposition de directive de la CommissionEuropéenne envisage des sanctions pénales contreles entreprises dont les réseaux, logiciels ou les ser-vices en ligne seraient utilisés pour la diffusion illé-gale de matériel protégé (musique ou fi lmnotamment). Les sanctions prévoient égalementdes peines de prison pour les employés. La propo-sition criminalise l’aide ou l’incitation à la violationde la propriété intellectuelle. Elle exclut en revancheles brevets du domaine d’application. La proposi-tion réduit également les possibilités d’actionsenvers les individus aux seuls cas où la violationest « délibérée, consciente et dans le but d’obtenirun avantage commercial ». Affaire à suivre…

Dans un souci d’économie d’énergie, le passage àl’heure d’été, aux Etats-Unis s’effectuait cette année le11 mars et non plus le premier week-end d’avril. L’opé-ration a entraîné son cortège de patchs de la part deséditeurs et s’est bien souvent soldée par des actions dedernière minute alors même qu’elle est inscrite dans la loidepuis août 2005. Au final, peu de dysfonctionnementsont été constatés, y compris chez ceux qui, pris par letemps, ont préféré modifier manuellement l’heure dessystèmes que d’appliquer les patchs.

Les débuts de Windows One LiveCare, le nouvel anti-virus de Microsoft, sont plutôt décevants. Deux testsrécents, dont un effectué par Virus Bulletin qui constitueune référence dans le domaine démontre des perfor-mances plus que passables. Le commentaire de ce test,tel qu’il apparaît sur le blog d’un membre de l’équipe« security research and response team » chez Microsoftreconnaît le problème et laisse supposer que la techno-logie utilisée jusqu’à présent n’est pas de dernière géné-ration. Le produit est par ailleurs l’objet de suspiciond’utilisateurs qui affirment qu’il est la cause de la sup-pression malencontreuse de certains fichiers Outlookutilisés pour l’archivage d’emails. Sur ce point, Micro-soft dément catégoriquement, bien que l’éditeur recon-naisse que ces fichiers peuvent se retrouver enquarantaine s’ils contiennent des emails suspectés decontenir des éléments viraux.

Une étude menée par une société New-Yorkaise deconseil auprès de 147 entreprises parmi les Fortune1 000 montre que les obligations légales en matièrede « compliance » – entendez par là Sarbanes-Oax-ley, HIPAA, PCI et consorts – constituent le principalmoteur de l’investissement des entreprises enmatière de sécurité aux Etats-Unis. Ainsi, 62 % desentreprises interrogées ont déclaré prévoir de déve-lopper et mettre en place des processus relatifs auxstandards de Payment Card Industry (PCI). Un autrerapport datant du début de l’année suggère que lesdépenses relatives à la sécurité représentent de7,5 % à 9 % du budget informatique et, fait intéres-sant, sont indépendantes de la taille, du secteur d’ac-tivité ou de la localisation géographique del’entreprise.

La forte présence de la Fédé-ration de Russie au Cebitd’Hanovre a été particulière-ment remarquée. Outre les 150exposants originaires de cepays, l’allocution du ministre destechnologies de l’informationétait particulièrement attendue.Celui-ci a réaffirmé l’intention deson pays de combattre les viola-tions de la propriété intellec-tuelle, tant dans le domainelégislatif que dans les moyens

accordés aux forces de l’ordre pour faire respecter celle-ci.Au-delà du discours, force est de reconnaître que la Fédé-ration semble avoir commencé à s’attaquer au problème,bien que de manière partielle. L’objectif est clair. La Fédéra-tion de Russie voit ses exportations de biens et servicesdans les domaines des technologies de l’information et descommunications croître de manière significative (20 % l’andernier). Elle compte sur celle-ci pour diminuer sa dépen-dance envers les marchés de matières premières mais doitpour cela attirer des capitaux étrangers qui sont évidem-ment attentifs à la sécurité de leur investissement. Lesefforts de la Fédération de Russie doivent également êtreappréciés dans l’optique de son souhait de se faire admet-tre comme membre à part entière de l’OMC.


Quoi de neuf Docteur ?

Gestion des DROITSNUMÉRIQUES enentreprise avec RMSA l’ère du numérique, la fuite d’informations sensibles par copie de documents ou transfert de courriels est unepréoccupation majeure des entreprises. Les mécanismes de protection mis en œuvre par le biais de listes decontrôle d’accès (ACL) sont inopérants dès lors que l’information sort du périmètre de sécurité. Par exemple,un document sensible qui est protégé par une ACL ne bénéficie plus de cette protection une fois copiée sur uneclé USB. De même, un simple "copier/coller" peut déplacer une information sensible vers un document ciblequi ne comporte pas les mêmes ACLs que le document source, et ainsi lui faire perdre sa protection. Les tech-nologies habituelles de chiffrement tels que Bitlocker (chiffrement du disque) et EFS (Encrypting File System)pour les fichiers, ou encore S/MIME (Secure MIME) pour la messagerie assurent la confidentialité de l’informa-tion lors de son stockage et son transfert, mais ne permettent pas de contrôler l’usage qui en est fait une foisdéchiffrée. Qui d’entre nous n’a jamais regretté d’avoir transféré un courriel trop rapidement, pour s’être renducompte ensuite que le message contenait des informations sensibles ? Pourtant l’émetteur du message origi-nal avait peut-être pris la précaution de l’envoyer en tant que message chiffré.


Rights Management Services (RMS) est une technologie « core »de la plateforme Windows Server 2003 pour la « gestion desdroits numériques relatifs à l’information » selon les principes duDRM, qui font qu’une fois la protection appliquée à l’informationpar le biais de licences, cette protection subsiste et est effectivequel que soit le parcours de l’information, y compris lorsque celle-ci sort du périmètre de sécurité de l’entreprise. RMS s’appuiesur le chiffrement pour assurer la confidentialité de l’information,mais va plus loin et permet le contrôle de l’usage qui en est faitune fois l’information déchiffrée. L’auteur d’un document ou d’uncourriel peut définir qui pourra accéder à l’information et pourquel usage (visualisation seulement, copie, impression, transfert,etc.). L’entreprise peut définir et gérer de manière centralisée desmodèles tels que « Confidentiel Entreprise – Lecture seule » luipermettant ainsi de mettre œuvre sa propre politique de gestiondes droits. Il suffira à l’utilisateur ou à un workflow automatiséd’appliquer le modèle approprié pour protéger l’information enrespectant la politique qui a été définie.

La technologie RMS comprend :

• Un composant serveur Rights Management Services pourWindows Server 2003 qui est un ensemble de services Webhébergés par IIS et accessibles par le protocole SOAP, dont lerôle est la certification des utilisateurs, la gestion des licences,et l’administration du système,

• Un logiciel client qui comprend le « security processor » dont lerôle est la sécurisation du client RMS (qui peut être un poste detravail, mais aussi un serveur) en tant qu’entité de confiance. Le« security processor » se charge de la protection des clés, duchiffrement/déchiffrement du contenu, et de l’authentificationdes applications. Une API cliente qui permet aux applicationsRMS d’accéder aux services du « security processor » locale-ment ainsi qu’à ceux du serveur RMS pour la protection de l’in-formation et consommation du contenu protégé.

La partie cliente de RMS s’installe sur les postes Windows 2000,Windows XP, et Windows Server 2003, mais elle est inclut debase dans Windows Vista. De même le serveur RMS fait partie de

Windows Server « Longhorn » sous l’appellation Active Direc-tory Rights Management Services (AD RMS). RMS s’appuie surActive Directory pour la gestion de l’identité des participants et,à partir de Windows Vista et Longhorn, est en mesure de tirerparti de la fédération d’identité Active Directory Federation Servi-ces (ADFS) pour les échanges entre organisations. RMS permetune traçabilité de l’utilisation des licences (et donc du contenu) etpour ce faire nécessite une base SQL Server pour la journalisa-tion de l’activité.

RMS et IRM

Malgré le fait que RMS est une solution d’entreprise et n’est pasun DRM destiné à la protection de l’audio, vidéo et média grandpublic, RMS ne pose pas de contraintes ou restrictions particu-lières quant au type de contenu binaire protégé. Ce sont les appli-cations (dites « RMS aware ») qui s’appuient sur RMS pourprotéger leur contenu, lequel est opaque pour RMS. Les applica-tions RMS sont des entités de confiance authentifiées par RMSauxquelles incombe la responsabilité du respect des droits unefois l’information déchiffrée. RMS n’est pas impliqué dans lestockage de l’information protégée et des licences afférentes,lequel incombe aussi aux applications. Pour l’utilisateur, RMSn’est visible qu’à travers les applications. Pour le développeur deprogiciels sur étagère, ou le développeur en entreprise, le SDKRMS ainsi que les classes natives du .NET Framework 3.0 per-mettent de rajouter des fonctions de protection RMS dans lesapplications.

Un progiciel de CAO pourra ainsi intégrer la gestion des droits surses documents, et une application interne de comptabilité pourrautiliser RMS pour contrôler la publication des informations comp-table. Finalement le portail Web d’une agence photo pourra parexemple permettre la visualisation des images en résolution fai-ble à tout le monde, et en résolution élevée à ses abonnés.Les premières applications de Microsoft à tirer parti RMS ont étécelles de la suite Office 2003 : Word, Excel, Powerpoint, et Out-look. Microsoft utilise le terme IRM (Information Rights Manage-

Vers le serveur RMSSOAP

AcquireLicenseAcquireIssuanceLicense

AcquirePreLicenseEditIssuanceLicense

GetLicensorCertificate

DRMCreateIssuanceLicenseDRMAcquireLicense

DRMEncryptDRMDecrypt

DRMCreateBoundLicense

Application RMS

API RMS (MSDRM.DLL)

SECPROC.DLL "Security Processor"

Win32Proxy

Proxy

CryptoAPI

Figure 1 - Architecture du client RMS


ment) pour designer les fonctions de gestion de droits et de pro-tection de la propriété intellectuelle numérique dans ses applica-tions. Office System 2007 continue à offrir l’IRM et l’étend auxformulaires Infopath 2007. Les nouveaux formats OpenXML etXPS (XML Paper Specification) du standard OPC (Open Packa-ging Conventions) prennent en compte la gestion des droitsnumériques. SharePoint Server 2007 applique l’IRM aux docu-ments dynamiquement lors de leur téléchargement par les utilisa-teurs. Afin de permettre la consommation de contenu ainsiprotégé par des utilisateurs qui ne sont pas munis d’Office 2003ou 2007, les applications IRM permettent aussi la publication auformat RMH (Rights Managed HTML) dont le but est la visualisa-tion de contenu protégé par Internet Explorer à l’aide de l’exten-sion Rights Management Add-On (RMA).

Fonctionnement de RMS

RMS utilise le langage XrML (eXtensible Rights Markup Lan-guage) pour l’expression des droits numériques. Les certificatsdes utilisateurs et les licences associées à l’information sont desdocuments XrML qui comportent chacun la signature de leurémetteur au format XML Digsig. Les certificats s’inscrivent doncdans une organisation hiérarchique à la manière d’une PKI (PublicKey Infrastructure).

RMS met en jeu les certificats et licences XrML suivants :

• Certificat machine <OBJECT type="Machine-Certificate">Afin de pouvoir créer ou consommer du contenu protégé, unemachine client RMS doit être activée. Cette activation est réa-lisée par le "security processor" pour chaque utilisateur de lamachine, et consiste en la génération d’un bi-clé RSA 1024,puis la certification de la clé publique dans la hiérarchie RMS.Le certificat contient et authentifie la clé publique de lamachine qui a été activée. La clé privée correspondante estconservée dans le profil de l’utilisateur, protégée par DPAPI(Data Protection API).

• Certificat utilisateur <OBJECT type="Group-Identity-Cre-dential">Un utilisateur doit être doté d’un certificat dit RAC ("RightsAccount Certificate") afin de pouvoir accéder aux services RMS.

Le certificat utilisateur est lié à une machine (préalablement acti-vée) et n’est utilisable que sur cette machine. La certification del’utilisateur se fait par le serveur RMS auquel le client RMS auratransmis le certificat machine avec la requête de certification.Après authentification de l’utilisateur via Active Directory, le ser-veur RMS génère un bi-clé RSA 1024 pour l’adresse e-mail del’utilisateur (son identifiant dans le système RMS), la clé publique,ainsi que la clé privée chiffrée avec le certificat de la machine sontplacés dans le certificat utilisateur qui est signé par le serveurRMS. Le bi-clé RSA de l’utilisateur est conservé dans la baseSQL et sera réutilisé lors de l’obtention d’un RAC par le mêmeutilisateur sur une autre machine.

• Certificat serveur de "licensor " <OBJECT type="Server-Licensor-Certificate">Ce certificat (SLC – Server Licensor Certificate) authentifie laclé publique du serveur RMS et rattache le serveur à la hiérar-chie RMS. Lors de l’installation, le serveur RMS génère un bi-clé RSA 1024 et se connecte au "DRM Server EnrollmentService" de Microsoft disponible sur Internet pour obtenir soncertificat. Pour un déploiement au sein d’un réseau nonconnecté à l’Internet, l’obtention du certificat peut se faire horsligne. Deux choix sont possibles pour protéger la clé privée duserveur RMS : une protection logicielle par laquelle la clé pri-vée est stockée dans la base SQL après chiffrement avec unsecret qui est lui-même protégé par DPAPI pour le comptede service RMS. Ou alors une protection à l’aide d’un boîtierde chiffrement matériel (HSM – Hardware Security Module).Cette deuxième approche est recommandée mais doit êtreprise en compte dès le déploiement initial.

XrML (http://www.xrml.org) est un standard pour l’expres-sion des droits numériques issu de travaux à Xerox PARCsur DPRL (Digital Property Rights Language). Repris etdéveloppé par ContentGuard (une compagnie fondée parMicrosoft et Xerox), XrML a été adopté par le groupe detravail MPEG de l’ISO/IEC pour devenir le Rights Expres-sion Language (REL) du standard MPEG-21.

XrML permet de spécifier quels droits sont octroyés(visualisation, copie, transfert, impression, etc.), à qui,pour combien de fois, dans quelle période, sous quellesconditions d’accès, à quelles conditions financières, surquel territoire, avec quelles obligations, etc.

XrML vs PKI X509 ?

RMS n’utilise pas d’infrastructure PKI X509 et sa hiérar-chie de certificats XrML est transparente pour les exploi-tants et administrateurs en charge d’un déploiement. Ceciest un avantage pour les entreprises qui n’ont pas d’infra-structure PKI à base de certificats X509, et qui peuventmettre en place une solution de protection de la propriétéintellectuelle immédiatement.

Pour les entreprises qui ont investi dans le déploiementd’une infrastructure PKI X509, on pourra regretter qu’RMSn’en tire pas parti. Certains feront remarquer que RMS vadonc nécessiter la mise en place et l’exploitation d’unedeuxième infrastructure de certificats et ses coûts asso-ciés. Cependant cette analyse n’est pas entièrementexacte, en ce sens que les services IT déploient et exploi-tent une infrastructure de serveurs RMS et non unedeuxième hiérarchie de certificats, laquelle est relative-ment transparente aussi bien pour les administrateursque pour les utilisateurs. On peut raisonnablementadmettre que les coûts de planification, de déploiement,et d’exploitation ne sont pas plus élevés que si RMS étaitune application PKI X509.


• Certificat client de "licensor " <OBJECT type="Client-Licen-sor-Certificate">Avec un certificat utilisateur (RAC), l’utilisateur peut s’authen-tifier, consommer du contenu protégé, et obtenir l’émission delicences de publication par le serveur RMS. Cependant, lapublication de contenu hors ligne de manière autonome sansconnexion vers le serveur RMS (qui est le scenario retenu parles applications Office) nécessite un « Client Licensor Certifi-cate » (CLC) qui permet au client de signer lui-même ses licen-ces de publication. Le bi-clé RSA 1024 du CLC est généré parle serveur RMS. Le certificat émis contient la clé privée chiffréeavec le RAC de l’utilisateur ainsi que des informations tellesque l’URL du serveur RMS.

• Certificat CA <OBJECT type="DRM-CA-Certificate">Ces certificats authentifient les autorités de la hiérarchie decertification RMS.

• Licence de publication <BODY type="Microsoft RightsLabel" version="3.0"> La licence de publication contient les ayants droits("[email protected]"), les droits ("visualisation, impres-sion"), et les conditions ("expire après 30 jours"). Ces don-

nées sont chiffrées avec la clé de session (AES 128) de l’infor-mation à laquelle s’applique la licence. La clé de session estelle-même chiffrée avec le certificat du serveur RMS et placéedans la licence. Le tout est signé par l’émetteur, qui peut êtrele « client licensor » (cas le plus courant, des applications auto-nomes, telles qu’Office) ou le « serveur licensor ». La licence depublication peut être embarquée avec l’information oustockée séparément à la discrétion de l’application. Office2003, et le standard Open XML utilisé par Office 2007, parexemple, embarquent la licence de publication dans unstream du document.

• Licence d’utilisation <OBJECT type="Content-License">La licence d’utilisation permet de consommer du contenu.Elle ressemble à la licence de publication (de laquelle elle estissue) à la différence que la clé de session est chiffrée avec lecertificat de l’utilisateur (RAC). Comme pour la licence depublication, la méthode de stockage est à la discrétion desapplications. Outlook stocke les licences d’utilisation dans leprofil de l’utilisateur, alors que Word, Excel, et Powerpoint ten-tent de l’embarquer dans le fichier (en quel cas le premieraccès à un fichier protégé le modifie).

Clés 1024

Certification

RAC

OwnerPublication

Utilisation

Server-Licensor-CertifcateClé 1024

Machine

Licensing

CLC

Microsoft DRMDesktop Security

Processor ActivationCertificate

MS DRM MachineActivation Desktop

Security Processor CA

Microsoft DRM Machine Activation

Server CA

Microsoft DRM CA

Microsoft DRM Server Enrollment

CA

Microsoft DRM Server Enrollment

Service

Microsoft DRMProduction Root

DRM-Certificate-AuthorityClé 2048

DRM-CA-CertificateClé 1024

Figure 2 - Hiérarchie des certificats et licences XrML


� Protection de l’information

Que se passe-il lors de la protection de l’information par uneapplication RMS ? Typiquement, l’utilisateur spécifie les ayantsdroits et pour chacun, les droits octroyés, ainsi que les conditionsd’utilisation (expiration, etc.). L’utilisateur peut aussi appliquer unmodèle de droits prédéfinis par l’administrateur. L’application faitensuite appel au « security processor » pour chiffrer l’informationà l’aide d’une clé AES 128. Les droits sont aussi chiffrés et placésdans la licence de publication. La clé de session est elle-mêmechiffrée pour le serveur RMS puis placée dans la licence qui fina-lement est signée avec le certificat CLC. Cette approche fait quedès lors seul le serveur RMS peut déchiffrer la clé de session, etpeut ainsi contrôler pleinement l’accès à l’information protégée.

Il appartient à l’application de stocker et transférer l’informationainsi que la licence de publication associée. L’approche la pluscourante est d’embarquer la licence de publication dans le mêmefichier (ou même message) que le contenu.

� Consommation d’un contenu protégé

La consommation de contenu protégé nécessite une licence d’uti-lisation. Si une telle licence (valide) n’est pas déjà disponible, l’appli-cation RMS associée au contenu tente d’en obtenir une auprès duserveur RMS en lui transmettant la licence de publication et le cer-tificat de l’utilisateur (RAC). L’URL du serveur RMS est indiquéedans la licence de publication. Le serveur RMS, après avoir validé laRAC et la licence de publication, déchiffre la clé de session puis lesdroits et conditions de la licence de publication.

Le serveur peut alors vérifier que l’utilisateur fait bien partie desayants droits, et que les autres conditions (comme la non expira-tion) sont remplies. Si les ayants droits désignent un ou plusieurs

groupes, le serveur procède à l’expansion des groupes via ActiveDirectory afin de déterminer si l’utilisateur fait partie de ces grou-pes. Cette méthode fait qu’un utilisateur peut se voir retirer l’ac-cès à l’information par simple exclusion d’un groupe (moyennantl’expiration des licences d’utilisation qu’il aurait déjà obtenu).

Après la validation de ces éléments, le serveur émet une licenced’utilisation dans laquelle il place la clé de session chiffrée pourl’utilisateur et la retourne à l’application RMS.

L’application RMS peut alors tenter une liaison (« bind ») de lalicence d’utilisation pour l’utilisateur et des droits spécifiques(visualisation, copie, impression, etc.). Le « security processeur »effectue cette liaison après un certain nombre de contrôles dontla validité de la licence d’utilisation et celle de l’utilisateur (RAC),l’authentification de l’application spécifiée par la licence (valida-tion de la signature du manifeste de l’application), ainsi que la nonrévocation des entités.

Si cette liaison réussit (l’utilisateur possède le droit demandé etles différents contrôles ont été positifs), l’application peut deman-der le déchiffrement du contenu. Le « security processor » utilisela clé privée de la machine pour déchiffrer la clé privée de l’utili-sateur et finalement déchiffrer le contenu.

L’application peut alors effectuer les opérations pour lesquelles laliaison a été demandée. Une application doit interroger l’API clientRMS pour déterminer les droits de l’utilisateur et adapter l’inter-face IHM en conséquence (griser les menus des actions aux-quelles l’utilisateur n’a pas droit). Une bonne pratique pour uneapplication est de ne tenter une liaison que pour une action uni-taire puis de s’assurer que seule cette action sera effectuée avecle contenu déchiffré.

Création lors de laprotection du fichier

Chiffrée avec clépublique serveur

Chiffrée avec cléde contenu

Chiffrée avec cléde contenu AES128

Licence publication

Clé deContenu

Droits et ayantsdroits

(adresses e-mail)

Licence utilisation

Clé deContenu

Droits pourl'utilisateur

Obtenue duserveur RMS

Chiffrée avec la clépublique

de l'utilisateur

Chiffrée avec cléde contenu

Contenu du fichier(texte, images, méta data,

etc…)

Figure 3 - Protection d’un contenu


On voit le rôle important des applications de confiance (qui sontauthentifiées ainsi) dans un déploiement RMS, puisqu’une fois laliaison effectuée et le contenu déchiffré par le « security proces-sor », le contrôle de l’usage (correspondant à la liaison) reposeentièrement sur l’application.

Architecture et déploiement RMS

Le serveur RMS comporte deux types de services Web, aussidésignés en tant que « pipelines » :

• Les services de certification, mis en œuvre dans le répertoirevirtuel _wmcs/Certification du site Web par défaut. Ces servi-ces comprennent :Certification.asmx – permet la certification des utilisateurs(méthode Certify),SubEnrollService.asmx – permet la certification de serveursde licensing subordonnés au serveur de certification (méthodeSubEnroll),

• Les services de licensing, présents dans le répertoire virtuel_wmcs/Licensing :License.asmx – délivre les licences d’utilisation (méthodeAcquireLicense),Publish.asmx – permet au client RMS d’obtenir une CLC(méthode GetClientLicensorCert), ou, pour les applicationsen ligne, la signature d’une licence de publication par le ser-veur (méthode AcquireIssuanceLicense).

Pour faciliter la montée en charge, le serveur RMS peut être unserveur Web logique composé de serveurs physiques en "Webfarm" selon les techniques round-robin DNS, Network LoadBalancing, ou une solution matérielle, et accessible via une URLunique.

Un déploiement RMS comporte au minimum un serveur de cer-tification racine qui expose aussi bien les services de certificationque les services de licensing.

Des serveurs de licensing supplémentaires peuvent être subor-donnés au serveur de certification racine. Cette approche répondà des besoins organisationnels de séparation du contrôle de l’in-formation. Par exemple, le département finances peut avoir sonserveur de licensing dédié, et séparé du reste de l’entreprise.

Une entreprise peut déployer plusieurs serveurs de certificationracine. Typiquement on ne déploiera qu’un seul serveur de certi-fication racine (et éventuellement ses serveurs de licensingsubordonnés) par forêt Active Directory.

Serveur RMS - Web farm

Cluster NLB

Serveur SQL

Serveur RMSCertification et Licensing

(racine)

Direction

Serveurs RMS Licensing(subordonnés)

Finances Partenaires

Forêt AD

Figure 4 - Cluster RMS

Figure 5 - Subordination des serveurs de licensing

Principe de topologie RMS - Toute protection de contenupar les applications se fait pour un serveur de licensingspécifique, et la consommation nécessitera uneconnexion vers ce serveur de licensing afin d’obtenir unelicence d’utilisation.

Trusts user domain

CertificationLicensing(racine)

Licensing

Subordination



Figure 6 - Multiples serveurs de certification racine


� Découverte des services RMS

La localisation des services RMS par les applications est un pointimportant à prendre en compte pour la planification d’un déploie-ment.

Lors de l’obtention d’un certificat utilisateur, le client RMS utiliseActive Directory (objet SCP - Service Connection Point - de lapartition de configuration du catalogue global) pour localiser leservice de certification. Le SCP est créé lors de la configurationdu serveur de certification racine et il ne peut y avoir qu’un seulSCP par forêt Active Directory.La clé de registre HKLM\SOFTWARE\Microsoft\MSDRM\Servi-ceLocation\Activation permet cependant de spécifier l’URL duservice de certification et prend précédence sur le SCP. Cetteconfiguration permet aux clients RMS de localiser leur serveur decertification en l’absence de SCP, ainsi que le déploiement deplusieurs serveurs de certification racine au sein d’une mêmeforêt, en quel cas on pourra configurer les clients RMS afin de lesrattacher à un serveur de certification spécifique.

Une logique similaire s’applique pour la localisation du service delicensing lors de l’obtention d’un certificat de licensor (CLC) néces-saire à la publication de contenu. L’URL du service de licensing estdéduite du SCP. Dans le cas où on aura déployé des serveurs delicensing subordonnés, l’utilisation de la clé de registreHKLM\SOFTWARE\Microsoft\MSDRM\ServiceLocation\Enter-prisePublishing est nécessaire pour rattacher les clients RMS àces serveurs. Le principe à retenir est que tout contenu publiéavec le CLC ainsi obtenu l’est pour ce serveur de licensing, etn’est consommable qu’à travers ce serveur.

Finalement, les applications RMS peuvent avoir leur propre logi-que pour la découverte des services RMS. C’est le cas de Micro-

soft Office qui utilise ses propres clés de registre pour rattacherles clients IRM aux serveurs RMS.Le CLC contient l’URL du serveur de licensing qui en principe estune URL intranet. Si le serveur de licensing est accessible depuisl’extérieur via une URL extranet, l’administrateur peut aussipublier cette URL en quel cas le CLC comporte les deux URL(intranet et extranet). Ces URL se propagent dans les licencespublication. Lors de la consommation de contenu, les applica-tions RMS les utilisent pour localiser le service de licensing.

� Relations de trust et échanges inter-organisations

Un serveur de licensing ne délivre des licences d’utilisation quepour les RAC qui proviennent du serveur de certification auquelil est subordonné ou de serveurs pour lesquels une relation detrust a été configurée.

Un serveur de certification racine et ses serveurs de licensingsubordonnés représentent un « user domain » RMS. Le principeest qu’un contenu protégé n’est consommable que par les utili-sateurs du même user domain ainsi que des user domain verslesquels une relation de trust existe.

Une relation de trust user domain se configure sur le serveur delicensing et consiste en l’importation de la clé publique du serveurde certification tiers. Cette relation permet aux utilisateurs d’unuser domain (Entreprise B sur la figure 7) de publier du contenu àdestination des utilisateurs du domaine trusté (Entreprise A).

Les scenarii suivants tirent parti des relations de trust userdomain :

• Le partage de l’information protégée entre entreprises ayantchacune leur infrastructure RMS,


• Un déploiement RMS de plusieurs serveurs de certificationracine, typiquement dans un environnement Active Directorymulti- forêt, avec un serveur racine par forêt (figure 6 illustre untel scenario),

• Le partage d’information protégée avec des utilisateurs exter-nes à l’entreprise authentifiés par Microsoft Live ID (ancienne-ment Microsoft .NET Passport).

Il existe une autre relation de trust RMS dite de « publishingdomain » (ce terme désigne l’ensemble du contenu protégé parun serveur de licensing) destinée à être utilisée non pas dans desscenarii de partage et d’interopérabilité, mais à des fins de récu-pération de contenu suite à l’arrêt de l’exploitation (ou « decom-missioning ») d’une infrastructure RMS. Un scenario typique estla fusion de deux entreprises ayant chacune leur infrastructureRMS. Le serveur de licence A est décommissioné, et on sou-haite permettre l’accès au contenu existant à travers le serveur delicence B. L’établissement de la relation de trust «publishingdomain » de B vers A consiste à importer la clé privée du serveur

A sur le serveur B. Cette configuration permet alors au serveur delicensing B d’émettre des licences d’utilisation pour du contenuoriginellement protégé dans le domaine de publication de A. Untel scenario de fusion appelle à une phase d’étude et de planifi-cation détaillée, en particulier pour la redirection ou migrationdes utilisateurs vers le nouveau domaine. Certaines applicationsRMS, c’est le cas de Microsoft Office, permettent de mettre enœuvre une telle redirection.

� Sécurité des pipelines

L’émission d’un certificat utilisateur (RAC) se fait sur la base deson authentification via Active Directory. Le service Web de cer-tification sera donc configuré en « Windows Integrated Authenti-cation ». La configuration d’une authentification client SSL/TLSpar carte à puce est aussi possible et permettra de renforcer lasécurité d’accès à la certification.

L’émission de licences d’utilisations se fait sur la base d’une RACvalide et ne requiert donc pas d’authentification de l’utilisateur auniveau système. Dans des scenarii de trust d’organisations tier-ces (pour lesquelles il n’existe pas de relation de trust AD niADFS), on sera obligé de permettre l’accès anonyme au serviceWeb de licensing. Dans les autres cas, une bonne pratique est dedésactiver l’accès anonyme et d’imposer l’authentification Win-dows.

De même, l’utilisation d’un canal SSL/TLS sur l’ensemble desservices est recommandée (selon le principe de la sécurité enprofondeur). Un serveur RMS se protège comme un serveur Websensible. L’utilisation d’un pare-feu de niveau applicatif permetl’inspection du trafic et est recommandée.

Finalement, on renforcera les ACLs sur les répertoires virtuelsdes services RMS pour ne permettre l’accès qu’aux utilisateurs

CertificationUser domain A

LicensingUtilisateurs

(RAC)

CertificationUser domain B

Utilisateurs(RAC)

Licensing

Trusts user domain

Consommentcontenu de B

Produisentcontenu pour A

Entreprise A Entreprise B

Figure 7 - Trusts de type user domain

Une relation de trust RMS de type user domain permetl’échange de contenu protégé entre organisations ayantchacune leur infrastructure RMS. Cependant, avec le clientRMS de Windows Vista et Windows Server « Longhorn » ADRMS, une organisation peut tirer parti d’une relation deconfiance ADFS WS-Federation pour mettre à dispositiondu contenu protégé auprès d’un tiers partenaire qui n’a pasd’infrastructure RMS, ni même un modèle d’identités Win-dows. ADFS implémente les standards WS-Federation,WS-Trust et SAML (Security Assertion Markup Language)permettant le partage d’identités entre organisations.


concernés. Par exemple, on pourra restreindre l’accès aux servi-ces Web du serveur de licensing du département finances auxseuls utilisateurs devant accéder aux documents ainsi publiés.

RMS, une solution d’entreprise

RMS est conçu pour la protection des informations de l’entre-prise. A ce titre RMS permet à l’entreprise de garder la maîtrise del’information chiffrée, et de s’assurer que les utilisateurs ne peu-vent se dérober à ce contrôle.

• La fonction de journalisation permet de conserver une tracedes accès à l’information et de l’utilisation des licences.

• Le groupe « super users » permet d’accéder à l’ensemble ducontenu protégé d’un domaine de publication. La gestion dece groupe est particulièrement sensible et appelle à précau-tion.

• La fonction d’exclusion permet d’exclure des entités de l’ac-cès au contenu à tout moment. Cette exclusion, qui peut êtretemporaire, peut porter non seulement sur les utilisateurs,mais aussi sur les applications (en cas de compromission),une version du « security processor », ou encore une versiondu système d’exploitation du poste de travail. La fonctiond’exclusion ne nécessite pas planning particulier.

• A l’inverse de la fonction d’exclusion qui est une fonction ser-veur, la révocation est permanente et sa vérification une fonc-tion du client RMS. Lors de la liaison d’une licence d’utilisation,le « security processor » vérifie la non révocation des entitésimpliquées. Les certificats et licences, les manifestes ouencore le contenu lui-même peut être révoqué, en quel cas laliaison échoue. La mise en œuvre de révocation nécessite uneffort de planification. Les fonctions d’exclusion et de révoca-tion ne sont pas incompatibles et peuvent être utilisées simul-tanément.

Microsoft a fait preuve de prudence dans le positionnement deRMS en tant que dispositif de sécurité infaillible, mettant plutôtl’accent sur la mise en œuvre et la gestion des politiques de l’en-treprise. Si le volet chiffrement de la technologie RMS offre unniveau de sécurité similaire aux logiciels ou protocoles de cryp-tographie moderne (et donc un bon niveau de protection contreles tiers non autorisés), le contrôle de l’usage est lui contournable.RMS inhibe la fonction de copie d’écran du système d’exploita-tion, mais rien n’empêche un utilisateur, surtout s’il est adminis-

trateur de son poste, d’installer un logiciel de copie d’écran pluspuissant, de ressaisir ou dicter l’information, ou tout simplementd’avoir recours à l’appareil photo numérique de son téléphoneportable. Cependant si l’objectif est de prévenir le transfert d’uncourriel ou encore l’impression d’un document sensible par inad-vertance, RMS y répond tout fait. L’intérêt d’une technologie degestion des droits numériques en entreprise est qu’une violationde la politique de l’entreprise, telle que la copie d’un documentconfidentiel, ne peut se faire qu’en toute connaissance de cause,avec contournement volontaire de la technologie.

Références

RMS sur microsoft.comhttp://www.microsoft.com/windowsserver2003/tech-nologies/rightsmgmt/default.mspx(alias http://www.microsoft.com/rms)RMS sur le blog MSDNhttp://blogs.msdn.com/rms/Hardening Guide for Microsoft Windows RightsManagement Serviceshttp://www.microsoft.com/technet/community/columns/sectip/default.mspxRMS SP2 sur Technethttp://technet2.microsoft.com/WindowsServer/en/library/27ee06a1-f467-4a6c-b662-45ddb5f8c13e1033.mspx?mfr=true

Jean-Yves POUBLANConsultant Principal

IT-expert, la référence techniquedes professionnels de l’informatique

Bimestriel de conseil et d’expertise technique,

IT-expert vous offre l’information essentielle pour

vous former et décider.

IT-expert, soudain tout est clair…


Pour tous renseignements : IT-expert - 3, rue Marcel Allégot - 92190 MEUDON - FRANCE

Tél. : +33 (0)1 46 90 21 21 - e-mail : [email protected]


Bon d’abonnement à faxer au+33 (0)1 46 90 21 20

ou renvoyer au Service Abonnements3, rue Marcel Allégot

92190 MeudonFrance


� Mme � Mlle � M.

Nom

Prénom

Société

Fonction

Adresse

CP

Ville

E-mail

Tél

Fax

�Je m’abonne 1 an au bimestriel IT-expert. Je recevrai 6 numéros pour 89 € TTC

�Je m’abonne 1 an à IT-expert version papier + accès au pdf en ligne* pour 120 € TTC

� Chèque joint à l’ordre de Press & Communication France

� Règlement à réception de facture

Date :Signature obligatoire :

Abonnez-vous à IT-expert

Abonnez-vous sur www.it-expertise.com/Abonnement

* Vous recevez dès sa parution un exemplaire d’IT-expert par la poste à l’adresse de votre choix et vous aurez accès à l’ensemble des anciens numéros d’IT-expert en version PDF sur le site webd’IT-expert : http://www.it-expertise.com


Comment ça marche ?

Un OBSERVATOIRE

pour mesurer

l’URBANISATION

des SYSTEMES

d’INFORMATION

Depuis quelques années, de nombreuses entreprises se

sont engagées dans la voie de l’urbanisation des SI, et ont

partagé leur expérience au sein du Club URBA-EA. Les

progrès dans la prise en compte du sujet, dans le rapport

aux projets informatiques, dans la compréhension des dif-

férentes visions, processus, fonctionnelles, applicatives,

techniques… sont indéniables, et des consensus se sont

dégagés.

En parallèle, une meilleure connaissance des approches

d’architecture d’entreprise, initiées par les organisations

nord-américaines, s’est diffusée, et a enrichi le débat sur le

périmètre d’action et les enjeux de l’urbanisme.

Progressivement, l’urbanisme des SI, fonction désormais

reconnue au sein des grandes organisations, s’est profes-

sionnalisé.

Les résultats disponibles autour de la métrique proposée

par l’indice d’urbanisation, dans la mise en œuvre de l’ob-

servatoire de l’urbanisation, sont un témoignage probant

des avancées réalisées. Nous disposons autour de l’obser-

vation des divers degrés d’urbanisation dans les entrepri-

ses, de données tangibles qui permettent à chacun de se

comparer, et d’évaluer l’évolution de son urbanisme.

Le présent article restitue les premiers résultats acquis par

cette démarche collective. Il rappelle d’abord les grandes

lignes des processus d’urbanisation, qui concrétisent le

métier de l’urbaniste et ses rapports avec les autres


Les processus d’urbanisation

Les processus d’urbanisation ont pour objectif d’organiser latransformation progressive et continue du SI visant à le simplifier,à optimiser sa valeur ajoutée et à le rendre plus adaptable et flexi-ble vis-à-vis des évolutions stratégiques de l’entreprise.

C’est l’exercice d’une fonction permanente, avec des actions decourt terme, et d’autres de longue haleine. Le Club URBA-EA aprécisé les processus d’urbanisation, en les reliant à la gouver-nance des SI, aux activités cœur de métier de l’urbaniste, et auxprojets eux-mêmes.

Ce travail de clarification a permis d’identifier, de documenter les dif-férents leviers d’action de l’urbaniste parce que cette fonction estmultiple, et, avec de nombreux angles d’attaque, il n’existe pas dedémarche unique, universelle. Il est impératif de tenir compte ducontexte et des enjeux, pour s’adapter au cas de l’entreprise.

Une autre difficulté est le manque de visibilité de la consistancede l’urbanisme. De quoi parle-t-on ? A quel résultat aboutir ?Comment la situation a-t-elle évolué ? Il faut se donner une visiondans la durée, pour renouveler la motivation et l’énergie nécessai-res et il faut rendre ces travaux de fond visibles du management.

C’est pourquoi il paraît nécessaire d’« objectiver » l’urbanisation,pour étayer le discours, dépasser la pétition de principes, et lesimple énoncé d’avantages qualitatifs. On sait qu’un processusn’est bien défini que s’il est mesurable.

L’indice d’urbanisation

Dans cette volonté de définir une mesure objective et originale, leClub URBA-EA a créé en 2005 un indicateur dédié : l’indice d’ur-banisation. Cet indicateur de mesure permet d’évaluer l’état del’urbanisation de tout ou partie du SI de l’entreprise.

Développer les relationsavec les projets

Piloter líurbani sation du SI et Participer aux comités d’arbitrage projets

Réaliser et maintenirl’infrastructure fonctionnelle du SI

Définir et maintenir le Cadre d’urbanisme

Maintenir & diffuser les cartographies de SI existant & cibleSupport

Coeur Métier

Pilotage

Urbaniser le S.I. de l’Entreprise

Processus d’urbanisation du S.I. (synthèse)

acteurs de l’informatisation. Puis il présente les

caractéristiques et l’originalité de l’indice d’urbanisa-

tion. Enfin, il restitue les premiers résultats obtenus

auprès des entreprises membre du Club qui partici-

pent à l’Observatoire de l’urbanisation.

Les systèmes d’information constituent un lourd

patrimoine d’investissements cumulés au fil des

années (applications, infrastructure technique…). Il

en résulte une imbrication de différentes générations

de réalisations informatiques, dont l’interfonctionne-

ment tient parfois de l’acrobatie.

Cet état de fait conduit aujourd’hui à devoir désimbri-

quer les différentes générations d’applications tout en

anticipant les besoins d’évolution du système d’informa-

tion. L’urbanisme a pour ambition d’aider à relever ce

défi.

L’urbanisme se traduit donc comme l’évolution maîtri-

sée et réactive des SI. Il consiste à proposer une vision

du SI alignée sur les perspectives du métier, apte à éclai-

rer les choix d’évolution sur le système informatique.


L’indice d’urbanisation est orienté résultats de l’urbanisation : cha-que fois qu’un résultat concret peut être mesuré il est l’objet d’unecotation, par exemple évaluer le pourcentage du patrimoine appli-catif qui est cartographié. Bien sûr l’indice restitue aussi la maturitédes processus de l’urbanisme, à partir de faits objectifs concer-nant par exemple la gouvernance, les méthodes…

Cet indicateur, multiaxes, restitue les différentes dimensions del’action de l’urbaniste. Ainsi aucun parti n’est pris sur un niveau dematurité globale, puisque, selon l’entreprise et ses enjeux d’urba-nisme, l’urbanisme souhaitable et les priorités seront fondamen-talement différents.

L’indice d’urbanisation est articulé autour de six axes comportantchacun 3 à 5 critères :

Axe 1 – Connaître le SI existant : la connaissance porte essen-tiellement sur les processus et les applications, dans le but deconstruire des référentiels cartographiques.

Axe 2 – Gérer les référentiels majeurs pour l’entreprise : il s’agitd’évaluer si les données métier clés sont définies de façonunique, si la responsabilité de chaque référentiel est attribuéeà une entité bien identifiée et si les dispositifs de gestion desdonnées de référence permettent d’en assurer la qualité, lacohérence et la disponibilité.

Axe 3 – Disposer de cibles pour l’évolution du SI : leur élabo-ration permet de s’assurer que les nouveaux projets s’inscri-vent bien dans le cadre de ces cibles et que ces dernièressont en harmonie avec la stratégie de l’entreprise.

Axe 4 – Maîtriser une construction du SI optimale pour l’en-semble de l’entreprise : pour atteindre ces cibles, il faut biensûr définir et mettre en œuvre un plan de migration et élaboreret diffuser des règles d’urbanisme applicables par les équipesprojet.

Axe 5 – Maîtriser la complexité des flux d’échange d’informa-tion : cette maîtrise porte sur la connaissance, la standardisa-

tion des flux inter-applicatifs et sur la mise en place de dispo-sitifs d’échanges mutualisés.

Axe 6 – Piloter et supporter l’urbanisation du SI : il faut mobi-liser des ressources pour l’urbanisme, assurer la communica-tion et la formation pour l’ensemble des acteurs projet.

A l’issue de la démarche de cotation, l’indice d’urbanisation estvisualisé graphiquement. L’indice est non seulement un outil demesure, mais aussi de management : il permet d’apprécier sil’urbanisation du SI est « en bonne voie », c’est-à-dire si lesactions menées s’inscrivent dans une démarche de meilleuremaîtrise de l’urbanisation du SI.

L’Observatoire de l’Urbanisation des SI

En 2006, le club URBA-EA démarre l’Observatoire de

l’urbanisation avec 44 cotations de SI.

Parmi les sociétés ayant participé au lancement de l’ob-

servatoire, on peut citer : Air France, Crédit Foncier de

France, EDF, GDF, Renault, RTE, Société Générale,

SNCF. Ces sociétés, qui appartiennent à des secteurs

professionnels différents et ont des organisations inter-

nes qui leur sont propres, ont toutes trouvé un intérêt

réel et opérationnel à mettre en œuvre cet indice.

Ces sociétés se sont retrouvées dans l’Observatoire de

l’urbanisation, de façon à suivre dans le temps l’évolu-

tion de leurs niveaux d’urbanisation, à partager des

retours d’expérience concrets et à accélérer la mise en

place d’un dispositif de pilotage et de communication

sur l’urbanisation en interne.


Les premiers résultats de l’Observatoirede l’Urbanisation

L’intérêt de l’indice d’urbanisation est illustré par le fait qu’il ait étéretenu, dans plusieurs entreprises de l’Observatoire, comme indi-cateur de pilotage stratégique de la DSI.

Afin de pouvoir analyser les résultats de façon pertinente, les dif-férentes cotations ont été regroupées en six segments fonction-nels plus homogènes : production industrielle, production deservices, marketing-commercial, finances-comptabilité-achats,ressources humaines et logistiques, de façon à constituer desensembles homogènes, au sein desquels les restitutions statis-tiques ont un sens.

L’analyse statistique a été faite sur la base de la mesure de lamédiane des cotations de chaque critère, la valeur médiane étantla valeur qui sépare l’ensemble des résultats en deux groupes demême effectif.

Le schéma ci-après représente le résultat médian global pourl’ensemble des cotations.L’avantage de cette représentation est que les points forts et lespoints à améliorer de l’urbanisation sautent aux yeux, sans quecela ne dispense d’une analyse minutieuse des résultats.

Il apparaît de façon immédiate, sur ce schéma, que, d’une manièregénérale, ces sociétés ont une bonne connaissance de l’état deleur système d’information grâce à la cartographie des processus,la cartographie des applications, la description des flux inter-appli-catifs et la large diffusion de ces cartographies. Cette bonneconnaissance s’élargit par ailleurs aux objectifs métier.

Autre aspect positif, les moyens consacrés à l’urbanisme permet-tent de constituer une entité opérationnelle dimensionnée pourintervenir sur les domaines sensibles. Mais il faut souligner queles sociétés, ici présentes, ont en général un certain recul dansleur démarche d’urbanisation.Par ailleurs, autre point fort, la bonne prise en compte de l’urba-nisme dans les dispositifs de gouvernance des projets et dans lesétudes amont illustre le fait que la valeur ajoutée de l’urbanismeest reconnue.

Si la connaissance de l’état actuel du système d’information estbonne, il n’en va pas de même de la vision prospective des ciblesà atteindre ou du plan de migration, tant pour les processus, quepour les fonctions et les applications. Il en résulte que le plan demigration vers la cible est mal connu.Enfin, des sujets transverses sont parmi les moins bien cotés.C’est le cas des référentiels, notamment pour l’attribution de laresponsabilité de ceux-ci aux métiers ou aux maîtrises d’ou-vrage ; c’est aussi le cas des échanges inter-applicatifs dont lastandardisation et la mutualisation sont peu répandues.Avec également une cotation faible, l’existence de dispositifs depilotage de l’urbanisation - définition d’objectifs mesurables etsuivi périodique de leur atteinte – reste peu répandue, la commu-nication sur l’urbanisme a un caractère très général et la forma-tion reste occasionnelle.

Chaque segment fonctionnel dispose de la même représenta-tion, ce qui permet de situer les résultats de chaque segmentpar rapport à l’ensemble. Ainsi, par exemple, le segment com-mercial–marketing fait apparaître des divergences par rapportau comportement médian global.


• l’accent se porte davantage sur une bonne maîtrise de l’exis-tant, avec une vision moyen terme en retrait

• un lien opérationnel fort est créé entre l’urbanisme et les projets• un effort particulier est porté sur les actions de formation et de

communication sur l’urbanisme.

Chaque membre de l’Observatoire de l’Urbanisation peut ainsicomparer l’urbanisation de son SI commercial–marketing parrapport à l’ensemble du segment.

Mais l’analyse ne s’arrête pas là : on peut, pour chaque axe del’indice ou au sein du processus d’urbanisation, positionner lessegments fonctionnels entre eux et ainsi, hiérarchiser l’état del’urbanisation des systèmes d’information.

Quelles perspectives ?

Ce radar, établi dans chaque entreprise et pour les directionsmétier concernées, permet de tracer « la feuille de route » des tra-vaux d’urbanisation. Celle-ci consistera à fixer des objectifs àatteindre pour chaque critère à un horizon donné. Il ne s’agit pas,bien sûr, de progresser de façon identique sur tous les axes nid’avancer au même rythme, mais au contraire de se fixer desobjectifs réalistes et pragmatiques adaptés au contexte de cha-que entreprise et de chaque direction métier. La fixation de telsobjectifs va bien sûr s’accompagner de plans d’action détailléspour y parvenir.

Une voie complémentaire, lorsque la cotation a concerné plu-sieurs directions métiers d’une même entreprise, est de dégagerde ces radars des axes communs de progrès qui peuvent êtremis en œuvre au niveau Corporate. �

Présentation du Club URBA-EA

Le Club URBA-EA, Club « Urbanisme des SI - Enterprise Architecture » traite les

différentes questions posées par l’urbanisation des Systèmes d’Information (SI),

ou selon la terminologie anglo-saxonne, par « l’Enterprise Architecture ».

Le champ des préoccupations va des processus métiers à l’architecture des

systèmes applicatifs.

Le Club a pour vocation :

• d’échanger entre professionnels en charge de l’évolution des systèmes

d’information :

- urbanistes, architectes, responsables des études, responsables de

maîtrise d’ouvrage…

• de capitaliser les retours d’expérience et les savoir-faire,

• de promouvoir ces démarches auprès des entreprises (Directeurs de S.I., Maî-

tres d’ouvrage, Management…) ainsi qu’auprès de l’enseignement supérieur.

Le Club URBA-EA est une association inter entreprises, créée en 2000 par :

AXA, FNAC, SUEZ-Lyonnaise des Eaux, ORESYS, RATP. Le Club compte,

aujourd’hui, près de 60 grandes entreprises et administrations.

Site web : www.urba-ea.org

Michel DARDETDirecteur associé du cabinet

ORESYS, responsablede l’activité Urbanisme des SI

Alain LEGACConsultant indépendant

René MANDELPrésident du cabinet ORESYS,auteur de l’ouvrage « De la stra-

tégie business aux systèmesd’information » chez Hermes

Fenêtre sur cour


La société Deloitte compte 135 000 personnes au niveau

mondial, 5 000 en France et est présente dans près de

150 pays. L’activité principale de Deloitte se situe dans le

domaine des activités réglementaires de type commissa-

riat aux comptes, expertise comptable ou encore juridi-

que et fiscale. Deloitte a également des activités informa-

tiques qui, historiquement, avaient été créées en support

à l’activité de commissariat aux comptes lors de l’infor-

matisation des comptabilités. Depuis une dizaine d’an-

nées, Deloitte dispose enfin d’une ligne de services

dédiée à la sécurité des systèmes d’information, ces der-

niers ayant pris une importance stratégique pour de

nombreuses entreprises.

Dans le cadre de notre dossier sur la sécurité des appli-

cations, nous avons eu le plaisir d’interviewer Monsieur

TOURNIER qui nous fait partager son expérience dans ce

domaine.

� Pourriez-vous nous expliquer le fonctionnement de votremétier chez Deloitte ?

Hubert TOURNIER : Deloitte propose des audits de sécuritémais aussi du conseil sur ce sujet.Il existe deux grandes familles de missions dans le domaine del’audit de sécurité, soit nous proposons des tests d’intrusion,c’est-à-dire en nous plaçant dans les mêmes conditions que des« pirates » potentiels sans information préalable sur le systèmed’information ciblé, soit nous effectuons des audits de sécurité,c’est-à-dire que nous travaillons de façon concertée avec leséquipes informatiques internes.

Interviewd’Hubert Tournier

Senior Manager chezDeloitte Consulting& Risk Services


� De quelle manière a évolué la sécurité au sein des entreprises ?

Hubert TOURNIER : L’évolution de la sécurité s’est faite lente-ment. Dans un premier temps, les problématiques étaient plutôtd’ordre organisationnel. Comment organiser la fonction sécu-rité ? Comment l’articuler avec les directions métiers et la DSI ?Puis est venu le temps de la défense « périmétrique », c’est-à-direque l’on cherchait essentiellement à se protéger contre desmenaces externes à l’entreprise.Puis nous sommes passés à un modèle de défense dit « en pro-fondeur », après une prise de conscience des risques qui pou-vaient d’une part venir du personnel, mais aussi de l’ouverture del’entreprise à des tiers tels que les partenaires, clients, personnelsnomades… Dans ce modèle constitué de plusieurs lignes dedéfense, défendre au plus près les applications est devenu unenjeu important.

� Comment se situe la France sur ce secteur ?

Hubert TOURNIER : Le secteur d’activité de la sécurité des sys-tèmes d’information est foisonnant. En France, il y a quelquesannées, nous pouvions compter au moins 260 sociétés qui inter-venaient dans ce domaine. Depuis longtemps, nous entendonsque ce secteur d’activité va « exploser » lorsque les entreprisesvont prendre conscience des enjeux de la sécurité or, pour lemoment, ce n’est pas encore le cas… La culture du contrôle et dela sécurité est bien plus importante dans les pays anglo-saxonsque dans les pays latins. Même les sociétés qui ont des activitésen ligne, donc qui sont plus exposées, n’ont pas toujours commepriorité de sécuriser leurs applications.

� Existe-t-il des secteurs d’activités plus matures sur cesujet ?

Hubert TOURNIER : Il y a une meilleure sensibilité dans les mon-des de la finance et de la pharmacie, notamment du fait decontraintes réglementaires. Mis à part les législateurs, les entre-prises telles que Deloitte peuvent inciter leurs clients à renforcerla sécurité de leurs applications. Depuis que certaines entreprisesréalisent une part conséquente de leur CA sur le Web, les com-missaires aux comptes sont eux-mêmes devenus plus sensiblesà la sécurité des systèmes d’information, et demandent de plusen plus souvent à nos équipes d’examiner la sécurité des appli-cations qui supportent les activités de nos clients.

� Quel type d’intrusion rencontrez-vous fréquemment ?

Hubert TOURNIER : Aujourd’hui une grosse partie des intru-sions se font via des applications en ligne, les dispositifs de sécu-rité périmétrique commençant à être relativement maîtrisés.Quant aux intrusions sur les réseaux internes des entreprises,quand elles ne sont pas dues à des applications Internet clientessur les postes de travail, elles sont souvent liées à des erreurs deconception d’architectures de sécurité. En effet, les comparti-

ments du réseau dits « démilitarisés » (DMZ), qui hébergent lesapplications en ligne publiquement accessibles, contiennent sou-vent des « chemins » descendant au cœur du réseau interne desentreprises, alors qu’ils devraient être configurés en « culs de sac ».

� D’où viennent les problèmes de sécurité des applications ?

Hubert TOURNIER : Il existe deux sources de menaces :• internes : des développeurs qui font les applications et y intro-

duisent parfois, volontairement ou non, des vulnérabilités.• externes : des personnes qui exploitent ces vulnérabilités pour

pénétrer les réseaux d’entreprise par les applications.

La plupart du temps, les vulnérabilités involontairement introdui-tes par les développeurs proviennent de leur méconnaissance dela sécurité et de sa mise en œuvre tout au long du cycle de viedes projets informatiques. Il peut exister des problèmes à demultiples niveaux, sur le plan de l’architecture, de la conception,du codage des applications. Nous avons besoin d’outils pourrépondre à ces problématiques de façon aussi automatisée quepossible car rien n’est plus fastidieux que de faire une analyse decode source manuellement !Pour ce qui est des développeurs introduisant des codes malicieux,« bombes logiques » ou autres « portes dérobées » dans les appli-cations, le problème est plus ardu car les portions de code corres-pondantes peuvent être parfaitement licites. A part relire le codesource de tous les développeurs, il faut a minima disposer de sys-tèmes de gestion de configuration permettant d’identifier les auteursde chaque modification (imputabilité) et interdire aux développeursl’accès aux systèmes de production (séparation de fonctions). Desprocessus de recette permettant d’isoler les portions de code nontestées peuvent également être utiles.

� En France les développeurs sont-ils suffisamment bien for-més en matière de développement sécurisé ?

Hubert TOURNIER : Il leur faut de toute évidence des formationsspécifiques complémentaires. Les personnes qui connaissent bienles problématiques liées à la sécurité viennent en effet plutôt dumonde de la production informatique que de celui des études. Il estdifficile de trouver des profils à la fois étude et sécurité.D’autre part les fonctions de développeurs d’applications sont peureconnues en France. Le poste de développeur est généralementperçu comme une première étape dans une carrière mais pascomme un métier à long terme. Or pour devenir un bon développeurd’applications sécurisées, il faut de l’expérience, un bon niveaud’expertise, une bonne maîtrise du codage… et, contrairement auxEtats-Unis, il existe peu de développeurs seniors en France…

� Qu’en est-il de la formation initiale en la matière ? Les certi-fications et les normes sont-elles des gages de maîtrise dusujet ?

Hubert TOURNIER : Très peu de formations scolaires ou profes-sionnelles sont dispensées sur ce sujet, cependant il existe un


certain nombre de certifications tel que le CISSP (ndlr : CertifiedInformation Systems Security Professional) qui a une vocationtechnique et transverse mais qui inclut les aspects de sécuritéapplicative, ainsi qu’une certification plus destinée aux architec-tes en sécurité, le SSCP (ndlr : Systems Security Certified Prac-titioner). Dans l’idéal, il faudrait que chaque DSI ait au moins àdisposition une personne formée dans ce domaine et en mesured’intervenir tout au long du cycle de vie des projets.

Dans les cabinets d’audit, la plupart de nos consultants sont aumoins certifiés ISO 27001. Cette certification couvre tous lesdomaines de la sécurité. Cela permet d’avoir un vernis au niveaudu codage des applications. La certification CISSP est plus poin-tue mais nécessite une expérience plus importante.

� Quand et comment intégrer la sécurité dans le cycle dedéveloppement ?

Hubert TOURNIER : Il faut intégrer la sécurité très en amontdans les cycles de développement afin d’analyser les risques,qualifier les demandes en terme de sécurité (architecture) etconcevoir les fonctions de sécurité intégrées (identification,authentification, habilitation…).Idéalement, il faut instituer des jalons tout au long de cycle de vieapplicatif et imposer l’intervention de personnes qualifiées surces différents jalons.En pratique, les DSI n’ont pas toujours les moyens financiersd’avoir des personnes spécialisées dans la sécurité à demeure,mais même chez les grands intégrateurs, les aspects sécuritésont très rarement pris en compte, à moins d’avoir été expressé-ment demandés.C’est pourquoi, que les développements soient effectués eninterne ou par une SSII, il faut établir un cahier des charges quiformalise les exigences de sécurité attendues.

Pour ce qui est de l’implémentation de la sécurité, certaines per-sonnes ont développé des guides à destination des dévelop-peurs. Ces guides, tel celui édité par l’OWASP, leur expliquent lesproblèmes de sécurité potentiels et comment les éviter. Un déve-loppeur sans connaissance préalable en sécurité qui prendrait letemps de lire ce type de guide téléchargeable gratuitement, amé-liorerait grandement la sécurité de ses applications.

� Comment procédez-vous pour retrouver les failles de sécu-rité dans les développements existants ?

Hubert TOURNIER : Le contrôle manuel est inopérant lorsqueles applications sont importantes. D’autre part, tout le monden’a pas forcement les compétences de relecture. Il est doncnécessaire d’avoir des outils pour automatiser le plus possible lecontrôle des applications. J’ai un certain nombre d’applicationsqui permettent de faire tel ou tel type de test sur du code sourcemais je ne dispose pas d’une application miracle qui fasse tousles tests d’un seul coup. Dans le cadre de nos missions, nous fai-sons parfois des revues d’architecture applicative en amont desprojets. L’audit de code a posteriori est très rarement effectuéparce que les tarifs de prestations appliqués au temps nécessairepour ce type de mission impliqueraient des budgets trop élevés.Par contre, la DCSSI (Direction Centrale de la Sécurité des Sys-tèmes d’Information) accrédite des organismes appelés CESTI(Centres d’Évaluation de la Sécurité des Technologies de l’Infor-mation) pour évaluer la sécurité de dispositifs de sécurité. Cessociétés seraient probablement qualifiées pour réaliser desrevues de code.

Hubert TOURNIERSenior Manager au sein dela ligne de services Gouvernance,Stratégie et Sécuritéchez DeloitteCISSP, CISM, CISA, BS7799Lead Auditor

Livres


Pro WF WindowsWorkflow

par B. BukovicsPrix : 48,90 euros710 pagesISBN 1-59059-778-8Editions Apress

Pro WF Windows Workflow &

Workflow in the 2007 Microsoft Office

System

L’année 2007 est placée sous le signe du Workflow chez Microsoft.Les deux ouvrages que nous vous présentons ce mois-ci traitent dusujet et s’avèrent complémentaires.

Le premier s’attache à vous faire pénétrer dans les arcanes de MOS(Microsoft Office System) et du tandem SharePoint Services v3 /SharePoint Server 2007. Si l’utilisation de Microsoft Office 2007 per-met de tirer le meilleur parti de ces fonctionnalités, l’ouvrage n’ometpas pour autant de consacrer un chapitre complet à l’intégrationavec Office 2003. L’auteur s’attache à démontrer la mise en oeuvredes workflows préexistants dans le cadre d’une entreprise fictivemais réaliste. Menés pas à pas et accompagnés de nombreuxconseils, ce livre constitue une excellente introduction à la plate-forme de workflow de Microsoft.

Le second ouvrage traite de l’envers du décor. Il présente lesaspects programmatiques de la plate-forme. A ce titre, il passe enrevue les mécanismes qui permettent de programmer ses propresworkflows. Cet ouvrage est clairement dédié aux développeurs etaux architectes, là où le premier vise une audience plus large etmoins technique.

Workflow in the 2007Microsoft Office System

par D. Mann440 pagesPrix : 18,90 eurosISBN 1-59059-700-1Editions Apress

Rubrique à brac


Les DRM :une introduction

« Nous naissons tous originaux :nous plairions tous par cetteoriginalité même si nous ne nousdonnions des peines infinies pourdevenir copies et fades copies. »

Stendhal


Il est fort peu de sujets qui aient fait couler autant d’encre etde salive dans le landernau médiatico-informatique que celuides DRM, a tel point qu’il mériterait sans nul doute de figurerdans la fameuse « bibliothèque de Babel » de Jorge Luis Bor-ges. Cette dispute a certainement atteint un point culminantà l’occasion du débat public qui a précédé le vote de lafameuse loi DADVSI « Droit d’Auteur et Droits Voisins dans laSociété de l’Information » qui est issue de la transposition endroit français de la directive européenne 2001/29/CE et a étéadoptée par l’Assemblée nationale et le Sénat le 30 juin 2006,avant d’être examinée par le Conseil constitutionnel qui en asupprimé certaines dispositions. Le texte, publié au JournalOfficiel le 3 août 2006, prévoit des amendes d’un montantde 300 000 euros ainsi que 3 ans d’emprisonnement pour lefait « d’éditer, de mettre à la disposition du public ou de com-muniquer au public, sciemment et sous quelque forme quece soit, un logiciel manifestement destiné à la mise à dispo-sition du public non autorisée d’œuvres ou d’objets proté-gés » et jusqu’à 6 mois de prison et 30 000 euros d’amendepour le « fait de procurer ou proposer sciemment à autrui, direc-tement ou indirectement, des moyens conçus ou spécialementadaptés pour porter atteinte à une mesure technique » (lesDRM sont appelées « mesures techniques » dans la loi).

Il n’est certainement pas dans notre ambition d’ajouter unnième ouvrage à cette célèbre bibliothèque mais tout simple-ment de tenter d’introduire ce concept sans rentrer dans tropde détails techniques. Pour cela, nous commencerons pardéfinir les DRM. Puis, nous essayerons de comprendre pour-quoi les DRM ont fait leur apparition et le rôle qu’y jouent leslangages d’expression de droit avant de conclure.

UUnnee ddééffiinniittiioonn ddeess DDRRMM

DRM, abréviation de l’expression anglaise de Digital RightsManagement est un terme générique qui fait référence à plu-sieurs technologies utilisées par les artistes, les auteurs, les inter-prètes, les titulaires de droits de propriété intellectuelle, lesentreprises, etc. pour contrôler l’accès et l’utilisation d’uncontenu numérique. Au sens de la directive européenne, on parle

de « mesure technique de protection » qui se définit comme« toute technologie, dispositif ou composant qui, dans le cadrenormal de son fonctionnement, est destiné à empêcher ou à limi-ter, en ce qui concerne les œuvres ou autres objets protégés, lesactes non autorisés par le titulaire d’un droit d’auteur ou d’undroit voisin du droit d’auteur prévu par la loi. Les mesures techni-ques sont réputées efficaces lorsque l’utilisation d’une œuvreprotégée, ou celle d’un autre objet protégé, est contrôlée par lestitulaires du droit grâce à l’application d’un code d’accès ou d’unprocédé de protection, tel que le cryptage, le brouillage ou touteautre transformation de l’œuvre ou de l’objet protégé ou d’unmécanisme de contrôle de copie qui atteint cet objectif de pro-tection » (article 9-3 de la directive 2001/29/CE1).

Cette notion de DRM existe aussi dans les entreprises et passeulement dans le monde des médias, on parle quelquefois d’En-terprise Digital Rights Management (E-DRM ou ERM) ou d’IRM(Information Rights Management) pour faire référence à l’utilisa-tion des technologies de DRM pour contrôler l’accès au patri-moine informationnel de l’entreprise (emails, fichiers PDF, Word,Excel, TIFF, plan AutoCAD, pages Web, bases de données, etc.)conformément à une politique de sécurité qui a été définie préa-lablement. Ces dispositifs d’E-DRM ou d’IRM ont généralementpour but de s’appliquer à des secrets commerciaux ou industrielsafin, par exemple, d’éviter qu’un mail envoyé aux collaborateursd’une entreprise ne puisse être retransmis par erreur ou volontai-rement par un collaborateur distrait ou indélicat.

PPoouurrqquuooii ddeess DDRRMM ??

On peut considérer que c’est la naissance, au début des annéesquatre-vingt, du premier CD (Compact Disc Digital Audio) qui aprésidé au lancement des premières réflexions sur la questiondes systèmes de protection contre la copie. En effet, si cettequestion de la copie existait déjà dans le monde analogique,avec les cassettes audio puis avec le magnétoscope, elle a prisdes dimensions nouvelles avec l’arrivée de cette nouvelle tech-nologie, puisqu’il devenait possible de copier un contenu numé-rique sans perte de qualité. Ainsi, dès la survenue des premierssystèmes d’enregistrement numérique, les industriels et les titu-laires de droits se sont penchés sur la question des dispositifstechniques de protection de la propriété intellectuelle, à traversdes systèmes de protection contre la copie.


Puis, avec la convergence du développement de l’informatique etdes communications sont apparues de nouveaux enjeux avec lapossibilité d’échanger très simplement des contenus grâce à ladiffusion massive des ordinateurs multimédias, du développe-ment d’Internet et des réseaux peer to peer, de la télévision hautedéfinition, des DVD, etc. Un tel développement a été l’occasionpour les industriels du secteur d’une double prise de conscience :celle des opportunités immenses offertes par ces nouvelles tech-nologies (baladeur MP3, nouveaux canaux de distribution licitedes contenus, services d’achat en ligne des contenus vidéo ouaudio…) mais aussi celle des risques potentiels engendrés par ledéveloppement d’une nouvelle forme de contrefaçon, plus dif-fuse et non nécessairement à but non lucratif, qui distribue gra-tuitement les contenus contrefaits.

Ainsi, alors que dans le domaine de l’électronique grand public,les traitements de données sont effectués par des composantsélectroniques qui sont difficiles à explorer ou à modifier, dans unordinateur domestique les systèmes de lecture ou d’enregistre-ment n’effectuent que pas ou peu de traitements de données ets’appuient pour cela sur le processeur de l’ordinateur qui exécuteun logiciel destiné à décoder le contenu numérique. Cela permet,en effet, d’obtenir des systèmes à moindre coût, puisque, parexemple, un lecteur DVD d’ordinateur n’intègre pas de compo-sant électronique pour le déchiffrement et la décompression,cette fonction étant assurée par le processeur. En revanche, lacontrepartie, c’est qu’il est possible d’explorer, d’analyser voirede modifier le logiciel (donc le traitement) sans moyens maté-riels particuliers, même si cela peut être fastidieux et coûteux entemps. C’est ce qui a permis, par exemple, le craquage, en 1999par Jon Lech Johansen, de l’algorithme CSS (Content Scram-bling System) qui est un dispositif de DRM employé par le DVDForum depuis 1996 pour protéger le contenu des DVD, craquagequi a mis à mal tout le système de protection du contenu multi-média des DVD. On a vu alors la naissance d’une nouvelle formede contrefaçon qui n’est plus le fait de structures organisées maisdes consommateurs eux-mêmes, à travers les réseaux peer topeer, tout cela sans réel but lucratif, au sein d’un système totale-ment dématérialisé et beaucoup plus diffus, donc beaucoup plusdifficile à maîtriser.

Ce craquage a permis de démontrer en vraie grandeur :• l’importance de la qualité de l’algorithme de chiffrement et de

la nécessité d’utiliser des algorithmes éprouvés, sur lesquelsde nombreux chercheurs se sont penchés. Des cryptanalysesont montré que l’algorithme avait plusieurs failles, faisant tom-ber la complexité de l’attaque de 240 à 28, soit une fraction deseconde de calcul pour un PC

• celle de la longueur de la clé, l’algorithme CSS repose sur uneclé de seulement 40 bits

• la nécessité de pouvoir éventuellement révoquer les clés afinde permettre l’évolution de la protection en cas de craquage.

La même prise de conscience s’est également faite jour dansles entreprises où l’arrivée de l’Internet et la connexion des sys-tèmes d’information à l’Internet a eu pour conséquence la possi-bilité de voir fuir des secrets industriels à l’extérieur, de façonvolontaire ou non, même si l’on peut considérer que cette prise

de conscience n’est peut-être pas encore complète au sein desentreprises.

C’est pour l’ensemble de ces différentes raisons que sont nés lesdifférents mécanismes de protection contre la copie que consti-tuent les DRM.

CCoommmmeenntt ffoonnccttiioonnnneenntt lleess DDRRMM ??

La protection technique des contenus numériques s’exerce soità partir du codage numérique des contenus numériques (techni-ques dites de « tatouage » comme le watermaking ou le finger-printing) soit à travers des techniques de chiffrement quiconcernent à la fois la protection technique d’accès aux conte-nus mais également les modes de distribution sur supports opti-ques ou à travers le réseau.

Nous n’aborderons pas ici les techniques de tatouage pour nousconcentrer sur les techniques de chiffrement qui sont au cœurtechnologique de la protection des contenus numériques.

Il faut préciser d’emblée que, par nature, ces technologies deprotection des contenus numériques ne prétendent jamais par-venir à un niveau de protection totale, une robustesse absolue ouune inviolabilité globale. Elles tendent principalement à atteindre« un certain niveau » de sécurité, à réduire l’intérêt et la facilité decontournement et s’inscrivent dans une dynamique d’équilibragesubtil entre protection et faillibilité. En effet, dans la mesure où cestechniques ne reposent que sur des briques logicielles, il n’estguère réaliste de chercher à « protéger le logiciel du logiciel ».Sans parler du fait que ces technologies ne peuvent en aucunefaçon combler le « trou numérique » ; ainsi, il reste toujours pos-sible de prendre la photo numérique d’un mail que protège unsystème de DRM et que l’on n’a donc pas le droit de transmettreen dehors de l’entreprise et d’envoyer ensuite cette photo endehors de l’entreprise…

On peut considérer, que ce soit pour les contenus sur Internet ouau sein des entreprises, que les DRM reposent sur la définitiond’un certain « espace de confiance » nécessaire à la distributionde contenus numériques de toute nature. La création de cet« espace de confiance » au sein duquel la communication estsécurisée est vraiment originale (d’où le recours aux guillemets)puisque, par principe, le titulaire des droits ou le propriétaire d’unfichier ne peut avoir confiance dans l’utilisateur. Ainsi, les systè-mes numériques de gestion de droits doivent non seulementcréer l’espace de confiance mais aussi, par des moyens techni-ques souvent similaires, l’élargir à l’ensemble de la chaîne dedistribution et de consommation du contenu.

Dans la pratique, l’association d’un ensemble de droits d’utilisa-tion à un contenu numérique implique l’emploi de quatre princi-paux types d’outils numériques :

• des outils d’identification du contenu numérique ;• des outils de description des droits du contenu numérique ;• des outils de protection du contenu numérique ;

• éventuellement des outils de mise en relation des droits avecles données commerciales sur les utilisateurs (dans le cas dela vente de contenu numérique en ligne).

Parmi ceux-ci une brique essentielle connue sous le nom de« langage d’expression de droits » dont le but est d’offrir unmoyen flexible d’exprimer des droits sur un contenu numérique.

LLeess llaannggaaggeess dd’’eexxpprreessssiioonn ddee ddrrooiittss

Pour faire fonctionner un système de gestion des droits numéri-ques, il faut disposer d’un « vocabulaire » commun pour réaliserla description des droits associés aux contenus numériques quel’on cherche à protéger.

Pour cela on a recours à des langages d’expression de droits ouREL (Rights Expression Language) qui constituent la « gram-maire » nécessaire pour parvenir à décrire les droits associés àchaque contenu numériques, pour chaque utilisateur, et ainsi,former la « langue » des DRM. Ainsi, un langage de descriptiondes droits permet de décrire numériquement les droits sur uncontenu numérique (texte, œuvre musicale, image fixe ou ani-mée, vidéo, jeu vidéo, email, fichier, etc.). Un langage de des-cription des droits doit, pour être pertinent et partagé, être tout àla fois précis, ouvert et donc standardisé, et générique.L’objectif, au sein d’un REL, est de pouvoir faire en sorte quechaque « expression de droits » puisse spécifier une combinaisonde règles telle que :• Quels droits sont disponibles,• Pour qui,• Combien de fois,• Pendant quelle période de temps,• Sous quelles conditions d’accès,• Pour quel montant,• A l’intérieur de quel territoire, et• Avec quelles obligations,• etc.

Les langages d’expression de droits sont généralement fondéssur XML (eXtensible Markup Language). Ils consistent en unegrammaire XML, c’est-à-dire un schéma qui décrit la grammairede base utilisée pour l’expression des droits et leurs relationsavec les biens numériques concernés et les différentes parties enprésence. Cette grammaire est complétée par un thésaurus (oudictionnaire de droits) qui contient le vocabulaire dans lequel sontexprimés les droits avec la description de sa sémantique.

Aujourd’hui, deux standards de langages normalisés de descrip-tion fondés sur XML sont en voie d’émergence et de compéti-tion :

• ODRL (Open Digital Rights Language) qui a été influencé parle langage XMCL (eXtensible Media Commerce Language) deRealNetworks qui a fusionné avec MRV (Media Rights Vou-cher) de Nokia pour former ODRL à l’automne 2001. La sou-mission d’ODRL comme candidat pour le REL incorporé ausein de la norme MPEG-21 a échoué.



• XrML (eXtensible rights Markup Language) : c’est le nouveaunom du langage DPRL (Digital Property Rights Language) issudes travaux du Xerox Palo Alto Research Center (Xerox-PARC). XrML a atteint la stabilité en novembre 2001 avec laversion 2.0 et la version 2.1 de mai 2002 a été soumise à l’OA-SIS avec la volonté de servir de base à la définition d’un lan-gage de gestion de droits pour l’industrie informatique. XrML,bien que maintenant développé sous la seule responsabilitéde l’OASIS Rights Language Technical Committee est encoresous copyright de ContentGuard et une utilisation commer-ciale de XrML doit résulter de l’obtention d’une licence auprèsde ContentGuard. Le langage XrML a été complété par undictionnaire de données (le thésaurus dont on parlait plushaut) développé par le consortium 2RDD qui est supporté parun groupe de propriétaires de contenus majeur (PMA, RIAA,IFPI…), des fournisseurs de technologies tels que Content-Guard et est géré par Rightscom. La combinaison de XrML etde 2RDD a été choisie pour devenir le REL de MPEG-21 qui aété incorporé aux sections 5 (RDD) et 6 (language concept) dustandard MPEG-21.

La position de XrML semble plus solide que celle d’ODRL. Eneffet, la phase d’exploitation commerciale a commencé ; de plus,XrML a été adopté en tant qu’élément de la norme MPEG-21.Pour cette raison, nous ne nous intéresserons dans la suite qu’àXrML.

PPrriinncciippeess eett mmééccaanniissmmeess ddee XXrrMMLL

XrML a pour objet d’assurer une intégrité totale des droits tout aulong de la chaîne de confiance. XrML autorise la définition d’organis-mes dits de «certification», dont le rôle est d’assurer que les échan-ges respectent la chaîne de confiance, par exemple qu’il n’y a pasd’usurpation d’identité ou de promesse non tenue. Une délégationde cette fonction de supervision est également possible.

Comme on vient de le voir, XrML est un schéma XML, c’est-à-direun modèle générique permettant d’instancier des objets spécifi-ques conformes à un standard. XrML repose sur la notion delicence qui est « un ensemble de concessions qui procurent àcertaines personnes certains droits sur certaines ressources souscertaines conditions. » Dans la mesure où une concession et undroit constituent des ressources, il est possible de construire desdocuments très complexes avec une très grande flexibilité.

Un langage de description des droits a pour objet la descriptiondes opérations numériques qui peuvent ou doivent être effec-tuées, mais il n’est pas dans sa fonction de décrire les moyensqui doivent être mis en œuvre à cet effet. La norme XrML donnedonc simplement des recommandations sur les principauxmécanismes sur lesquels repose un système de gestion numéri-que des droits :

• L’identification des personnes et des ressources qui visent àreconnaître l’identité d’un objet. XrML prévoit que celle-ci soitfondée principalement sur une infrastructure de gestion declés publiques.

• L’authentification des personnes et des ressources qui ontpour but de vérifier que l’identité présentée par une personneou une ressource est bien conforme à la réalité. Ici aussi, uneclef publique est requise pour les personnes, un condensé ouune signature pour les ressources numériques.

• La signature et le chiffrement s’appuient sur des normes duW3C qui sont au cœur des services Web XML : XML-ENCpour le chiffrement, et XML-SIG pour la signature.

QQuueellqquueess ccoonnssiiddéérraattiioonnss ssuurr llee ffuuttuurr ddeessDDRRMM

Il semble certain que les DRM puissent constituer, que ce soitdans le monde des médias ou en entreprise, des réponses inté-ressantes aux questions légitimes que peuvent se poser lesentreprises ou les auteurs et les titulaires de droits. Pourtant, cer-tains des éléments constitutifs de ces dispositifs restent encorecomplexes à utiliser pour l’utilisateur final, en particulier pour cequi concerne le sujet toujours d’actualité de l’interopérabilité desDRM. De manière générale, l’interopérabilité a pour mérite defavoriser la concurrence, d’abaisser les coûts et donc d’accroîtrela valeur d’usage d’un produit ou d’une solution. Dans la pratique,l’interopérabilité permet à un consommateur de pouvoir utiliserses DVD ou ses CD sur la quasi-totalité de ses équipementsélectroniques et d’éviter d’avoir à les renouveler en cas de chan-gement d’équipement ; de même, en entreprise, elle autorise lepartage facile de documents ou de plans entre deux sociétéspartenaires tout en en contrôlant les usages.

Gageons que, sous réserve que l’interopérabilité ne nuise bienévidemment pas à la sécurité globale de la chaîne de confiance,les intérêts naturels des utilisateurs prévaudront et que, d’ici quel-ques années, les débats sur l’interopérabilité qui ont fait rage cesderniers mois ne seront que de vieux souvenirs. �

Bernard OURGHANLIANDirecteur Technologie et Sécurité,Microsoft France

EN SAVOIR PLUS

Demandez le Livre Blanc rédigé par leGartner Group et CAST sur ce thème :« Information Series on ApplicationManagement » :www.castsoftware.com/outsourcing

Découvrez l’expérience de plusieurssociétés utilisatrices de solutionsd’Application Intelligence :www.castsoftware.com/customers

ZOOM OUTSOURCING

L’AVIS DES DIRECTIONS INFORMATIQUES

Ministère des FinancesDirection Générale des ImpôtsNadine ChauvièreSous-Directrice des SI de la DGI

« Les solutions d’Application IntelligenceCAST nous aident à obtenir une meilleure visi-bilité de notre parc applicatif au travers detableaux de bord composés d’indicateurstechniques objectifs afin de faciliter le dialogueavec les équipes et avec nos maîtrises d’ou-vrage. »

Groupe SFR CegetelEric EteveDirecteur InformatiqueCentre Ingénierie Mobilité

« La solution CAST de gestion de la sous-traitance est un élément clé dans le systèmede pilotage mis en place par SFR-Cegetelsur ses TMA. Nous avons constaté uneattention plus particulière apportée par lesSSII à la qualité des livrables et à la fiabilitédes chiffrages depuis qu’ils savent que nouspouvons facilement les auditer »

Framatome - Groupe AREVAMichel FondevioleDSI de Framatome-ANP

« CAST fournit des critères objectifs d’appré-ciation dans le dialogue parfois difficile avecle sous-traitant ainsi que des indicateursnécessaires au suivi de l’évolution des appli-cations et constitue au sein de Framatomeun outil de progrès partagé. »

Les entreprises, devenues plus mûres

vis-à-vis de l’outsourcing, sont désor-

mais capables d’opérer des externali-

sations plus stratégiques. On l’a récemment

observé dans l’automobile avec Renault ou dans

la grande distribution avec Carrefour.

Dans l’externalisation des applications métier,

c’est surtout la volonté d’accroître l’efficacité

opérationnelle de l’informatique qui est motrice :

pouvoir fournir plus rapidement un service à

valeur ajoutée aux utilisateurs et aux clients dans

un contexte en perpétuelle évolution.

Comme dans n’importe quelle opération d’out-

sourcing, le contrat liant le fournisseur est capi-

tal, en particulier les SLAs. Néanmoins, les

applications métier étant par nature soumises à

de fréquents changements en cours de contrat,

les seuls SLAs se révèlent vite insuffisants pour

garantir la qualité de service et éviter les dérives

de coûts.

C’est là que le bât blesse : l’externalisation des

applications métier occasionne un risque de

perte rapide de savoir-faire technologique et

par conséquent critique. Vigilance et suivi sont

de mise pour garder le contrôle de la qualité

de service et éviter les dépendances par nature

dangereuses.

L’externalisation réussie d’applications métier

est donc le fruit d’une vision anticipatrice parta-

gée avec le prestataire. Sont ainsi apparues

des solutions dites d’Application Intelligence,

basées sur une technologie avancée d’analyse

de code source.

En fournissant des indicateurs techniques aux

donneurs d’ordre, ces solutions permettent de

piloter un parc applicatif sous-traité en temps

réel, tant en terme de qualité, que de maintena-

bilité et de coût. Résultat : le donneur d’ordre

conserve la maîtrise intellectuelle de ses appli-

cations métier et le contrôle de la relation avec

son sous-traitant.

La valeur ajoutée de ce type de solutions d’Ap-

plication Intelligence est visible à chaque étape

d’une opération d’outsourcing, comme décrit

ci-après.

Audit de l’existant et préparation des appels

d’offres

• Déterminer les caractéristiques techniques

du portefeuille applicatif existant avant de le

sous-traiter

• Disposer d’informations de référence pour

évaluer les propositions des sous-traitants

• Obtenir une image à l’instant t des applica-

tions pour permettre un suivi dans le temps

Transfert vers le prestataire

• Réduire la phase d’acquisition de la

connaissance pour entreprendre plus vite

des tâches productives

• Diminuer le coût lié à la production d’une

documentation exploitable et maintenable

par le prestataire

Contrôle de la qualité et des coûts en cours de

projet

• Suivre l’évolution de la maintenabilité et de

la qualité pour éviter toute dérive

• Etre capable de valider la quantité et la qualité

du travail facturé

• Etre en mesure de challenger le sous-trai-

tant lors des négociations d’avenants

• Industrialiser les recettes techniques

Renouvellement de contrat, transfert ou ré-inter-

nalisation

• Déterminer et qualifier les écarts entre la

prestation prévue et les livrables recettés

• Disposer des informations techniques

caractéristiques du portefeuille applicatif en

fin de prestation

Le leader mondial de ce type de solutions est

d’ailleurs un éditeur français, CAST. Reconnu

par les analystes informatiques comme pré-

curseur du marché, CAST compte plus 500

comptes utilisateurs de sa plate-forme d’Appli-

cation Intelligence dans le monde.

La maîtrise des applicationset des prestataires dansune opération d’outsourcing

Cycle de vied'une opération d'Outsourcing

Suivi de proje

t Contrôle des coûts

Transfert de connaissances

Fin de

contrat Appels d'offres

Rece

tte te

chni

que

www.castsoftware.com

Publi-Reportage

De la valeur ajoutée de l’ApplicationIntelligence pour piloter efficacementun parc applicatif sous-traité