Je vais présenter dans cet article un service qui tend à s’étendre dans l’avenir avec le développement de nouvelles applications et nouveaux procédés. Tout le monde et ce depuis quelques années maintenant, s’émerveille devant la venue des SaaS sur le web et des avantages que cela procure.

De plus en plus de personnes font appel à ces services [1] en entreprise afin d’optimiser leurs coûts. Cependant, beaucoup d’entreprises ne réalisent pas qu’en utilisant ces types de services, elles soumettent certaines informations contenues à des tiers.

Ceci peut augmenter à terme le risque de vol d’informations, de viol de la confidentialité des données et de plus la possibilité de récolte d’informations en vue du piratage du réseau de l’entreprise si les serveurs du prestataire des SaaS s’avèrent compromis ou si des fichiers de connexions à ces derniers sont détournés.

Les risques sont multipliés lorsque ces SaaS utilisent par ailleurs un navigateur Internet lambda comme client. Des failles sur le site du prestataire (surtout si ce dernier développe d’autres services étendus orientés sur le web) permettent là aussi d’accéder à vos documents. Nous retiendrons une faille présente malheureusement dans beaucoup d’applications web qui sont autre que les XSS, permettant suite au vol de cookies sur un service d’étendre son emprise sur la totalité des services du prestataire utilisés par l’Internaute.

Ainsi, la logique du prestataire, qui n’est autre que de ne pas changer les informations de sessions entre les SaaS afin de ne pas gêner le client passant d’un service (ex : webmail) à un autre (ex : Editeur en ligne) se révèle une vulnérabilité potentielle pour la compromission totale des informations soumises par l’internaute au SaaS.

C’est le cas par exemple lorsque de grands noms du web ayant des SaaS se retrouvent avec une vulnérabilité dans une de leurs pages dynamiques et ceci arrive plus que souvent. Nous pouvons aussi noter de par le passé un SaaS qui pouvait permettre à n’importe qui de visionner les documents de chaque utilisateur en prédisant le nom relatif au document utilisé par l’application.

Bref, les SaaS c’est beau. Mais il ne faut pas en abuser ! Surtout lorsqu’on a aucune information relative à la sécurité du système traitant les documents envoyés dans le cadre de suites de bureautique Online ou autres. Selon moi, une entreprise ne devrait pas soumettre n’importe quel document interne (quel que soit son niveau de divulgation) à un SaaS sans être assuré de la préservation de la confidentialité de ces derniers. Pour les particuliers (CV etc.) ceci est une autre histoire et une autre échelle de risques.