Proposé à l'origine par Microsoft, IBM et Verisign, le langage WS-Security a été officiellement approuvé mercredi par le consortium OASIS (Organization for the Advancement of Structured Information Standard). Désormais ratifiée, cette spécification va donc pouvoir être implémentée en tant que standard de sécurité par les éditeurs.
Cette couche vient compléter les mécanismes de gestion de composants d'intégration universels de type Web Services déjà existants. Une couche qui, rappelons-le, repose sur un dispositif en couplage lâche combinant protocoles de requêtage (WSDL) et de réponse (SOAP), le tout au format XML.
"L'architecture WS-Security veut répondre à toutes les problématiques de sécurité auxquelles peut se trouver confronté un processus transactionnel mis en oeuvre entre Web Services", résumait Marc Gardette, architecte système chez Microsoft France, lors du lancement du projet en 2002 (voir l'article publié en avril 2002).
Concrètement,
l'édifice WS-Security propose une bibliothèque de méthodes couvrant les principales fonctions de sécurité nécessaires à un processus transactionnel. De l'authentification et la gestion des droits des utilisateurs et des composants en présence, en passant par le chiffrement des flux d'informations, et la gestion de l'intégrité des messages par le biais de certificats.
Une infrastructure couvrant les grands enjeux de sécurité |
Au delà des infrastructures de Web Services, le nouveau langage devrait également contribuer à faciliter l'intégration des systèmes de sécurité (pare-feu, outils de gestion d'accès, etc.), l'échange de données d'identification et d'authentification utilisateur entre ces derniers notamment. Une question qui touche à la fois au système d'information sur un périmètre interne, mais également à la sécurisation des flux de données avec les partenaires.
Reste à disposer de solutions fidèles
aux spécifications WS-Security. Aujourd'hui, la balle est donc dans le camp des éditeurs. Parmi les acteurs s'intéressant de très près à la nouvelle norme, on compte à la fois des géants de l'informatique, comme IBM, Sun et HP. Mais également des sociétés positionnées sur des segments plus pointus, tels que l'infrastructure (Novell et AmberPoint), les plates-formes applicatives (Oracle et BEA) ou encore la sécurité en tant que telle (RSA, Entrust et Netegrity).
Aux côtés de ces premiers supporters, WS-Security est également soutenu par les grands consortiums de standardisation informatiques, aux premiers rangs desquels figure le W3C (World Wide Web Consortium). Autres groupements s'étant prononcés en sa faveur : la Liberty Alliance qui a d'ores et déjà annoncé sa volonté d'implémenter WS-Security au sein de son infrastructure de gestion d'accès. Mais également le WS-I (Web Services Interoperability Organization) qui envisage d'élaborer un guide d'implémentation du langage.
|