Hihi

Dans la lignée de mon précédent article sur les dangers d'un Web propriétaire, un article a été publié sur le blog de Matasano à propos des failles de sécurité inhérentes à la technologie Flash présente sur la grande majorité des plate-formes. Ainsi n'importe quel ordinateur devient la cible potentielle d'une attaque tandis Adobe se voit frappée d'incapacité à combler toutes ces failles sur toutes les plate-formes couvertes par cette technologie. Je vous livre ci-dessous la traduction d'un extrait de ce billet par Tristan Nitot^[1] :

Les failles (de sécurité) dans Flash sont des catastrophes. En 2008, on a de nombreux navigateurs différents. Nous avons différentes versions des systèmes d'exploitation et nous avons des utilisateurs de Mac. Mais il n'y a qu'un seul fournisseur pour Flash, et tout le monde a Flash installé sur sa machine. Pourquoi faut-il s'intéresser aux trous de sécurité dans Flash ? Parce que le monde réel, n'importe quelle attaque de ce genre permet à son auteur de prendre contrôle d'une vaste majorité d'ordinateurs.

L'ouverture du Web n'est pas qu'une simple utopie ou qu'un simple idéal vers lequel nous devons tendre; il s'agit d'un combat de tous les jours dont tous les utilisateurs sont bénéficiaires, parfois sans même en être conscients. De grandes problématiques sont soulevées par ce sujet dont l'accessibilité qui est malheureusement souvent perçue à tort comme utile à une portion marginale d'internautes. La sécurité en est une autre qui, cette fois-ci parle beaucoup plus aux internautes lambda bien souvent sensibilisés à cette question car cela fait des années que l'on leur parle d'antivirus, de pare-feu, ou que sais-je encore. S'il faut en passer par là pour faire comprendre les enjeux d'un Web ouvert et standardisé, soit, nous le ferons.

Il est facile de succomber aux atouts et aux promesses pleines d'espoir des plateformes RIA (Rich Internet Applications) que sont Flash et AIR d'Adobe ainsi que Silverlight de Microsoft. Ces dernières nous promettent l'accès à un Web plus dynamique et interactif bien plus agréable pour le visiteur. Mais attention au danger, car danger il y a, du caractère propriétaire de ces applications. Cela peut paraître insignifiant pour le commun des mortels, mais comme dirait l'autre "pour moi ça veut dire beaucoup", et ce n'est pas qu'une image...

On ne peut contester le caractère novateur de ces technologies qui permettent une dynamisation du Web. L'émulation issue de la concurrence est au service de l'innovation qui avance vite, très vite ! Et comme toujours, l'innovation nous offre de nouvelles perspectives des plus intéressantes, des alternatives qui parfois augurent d'un avenir radieux et c'est ce qui se passe aujourd'hui dans le domaine des Rich Internet Applications. Malheureusement, malgré l'espoir que peut nous apporter une telle technologie, il y a deux mots qui peuvent au demeurant paraître insignifiant mais qui, lorsqu'ils sont associés et accolés au mot "Web", peuvent devenir une véritable menace.

Ces deux mots ne sont autres que des adjectifs : "fermé" et "propriétaire". Mais avant de nous occuper d'eux, laissez-moi vous raconter une histoire. Le Web n'a pas toujours été basé sur la normalisation de technologies ouvertes comme il l'est actuellement. A ses débuts il s'agissait effectivement de technologies ouvertes, mais les grands acteurs du marché des navigateurs ont essayé de se les approprier. Ce que l'on a appelé la Balkanisation du Web, c'est cette époque pendant laquelle ces acteurs ont tout d'abord implémenté (d'une manière qui leur était propre) le HTML et les CSS avant de créer des balises propriétaires, ce qui a eu pour conséquence l'apparition d'interprétations divergentes entre les navigateurs si bien qu'à cette époque, considérée comme le cauchemar des développeurs, il était nécessaire de créer un site différent par navigateur pour jouer de ces différences d'interprétation.

Il aura fallu attendre la naissance du W3C pour voir apparaître une normalisation des langages HTML et CSS et une uniformisation de l'interprétation de ces langages. Ce n'est que près de dix ans après que les effets de cette balkanisation commencent à s'estomper, malgré la présence de stigmates profondes encore visibles aujourd'hui. Serait-ce ce vers quoi nous tendons ? Non : les données sont aujourd'hui bien différentes puisqu'il ne s'agit pas d'une seule technologie que l'on tente de s'approprier mais de la naissance de plusieurs technologies qui ont pour cible un seul et même marché et qui tentent de se l'approprier. Nous ne feront donc pas face à une seconde balkanisation du Web, mais plutôt à une guerre. Une guerre qui ne se fera pas sans dommages collatéraux aussi bien chez les distributeurs de ces technologies, que chez les développeurs Web ou les internautes : vous tout autant que moi.

Oui, j'ai bien dit "guerre", et contrairement à ce que vous pouvez penser, le mot n'est pas si fort que cela. En effet, il y aura entre Silverlight et AIR, qui sont les deux principaux concurrents dans cette course aux RIA, une guerre des technologies similaire à la guerre des formats qui a eu lieu entre le Blu-ray et le HD DVD. Ce conflit a pris fin dernièrement après plus de, tenez-vous bien... 4 ans d'attaques plus ou moins directes entre les deux acteurs du marché. Quatre ans pendant lesquels les constructeurs et les consommateurs ont été tiraillés entre deux choix, deux technologies. A l'issu de ce combat, la mort du HD DVD a été annoncée, causant de nombreuses pertes financières à plusieurs échelles : des quelques centaines d'euros dépensées par les consommateurs pour l'achat d'un lecteur HD DVD, aux millions d'euros investis par certaines grandes firmes dans le développement et le déploiement de la technologie.

Mais plus encore que cette guerre technologique, le plus grand danger réside certainement dans le caractère propriétaire de ces technologies puisqu'aucune d'entre elles, par leur caractère fermé, ne peut être normalisée. Ainsi, opter pour l'une ou l'autre technologie, c'est s'en remettre totalement au choix du distributeur de cette dernière qui sera le seul à décider du portage ou non de sa technologie sur une plateforme. Imaginez développer un site sous Silverlight alors que celui-ci ne soit porté que sur Windows : inutile de vous faire un dessin pour que vous vous rendiez compte que des millions d'internautes sous Mac et Linux n'auront pas accès à votre site, ce qui représenterait pour des sites marchands, un certain manque à gagner. Et le pire, c'est que le caractère fermé de cette technologie empêchera quiconque le voudra de la porter sur sa plateforme favorite.

Les mauvaises langues diront que des solutions libres permettaient la lecture du Flash avant qu'Adobe ne le porte sur Linux. Oui, le Flash était lisible. Enfin, si l'on faisait abstraction des problèmes de son, des sites mal développés donc illisible, et autres problèmes qui concernaient plus de la moitié des sites utilisant Flash. Mais maintenant que Flash est porté sous Linux, cela va beaucoup mieux : il ne reste plus que quelques problèmes liés à certains lecteurs vidéos ou à des slides dynamiques, sans compter le chargement de certains sites qui ne se chargeront pour ainsi dire jamais. Ha, et oubliez l'enregistrement de vidéos via Seesmic : le Flash ne supporte pas les Webcam sous Linux. Non, franchement, tout va mieux... si si, je vous assure !

Enfin, j'aimerai aborder une dernière critique et non des moindres sur ce sujet qui pourrait encore en attirer de nombreuses autres, mais cette dernière va de pair avec celle précédemment énoncée : il s'agit de l'accessibilité. Malgré les défauts de Flash à ce niveau, il existe des techniques pour rendre l'intégration de cette technologie dans une page Web non intrusive ainsi que des techniques permettant de rendre les application Full Flash plus accessibles. Mais sur la totalité des développeurs, combien connaissent ces techniques ? 4 ou 5% ? Combien parmi ceux-ci les emploient ? Moins de la moitié ? Combien de sites, sur la totalité des sites en Flash, sont accessibles ? Je ne préfère pas répondre à cette question tant la réponse serait risible... L'accessibilité d'AIR et de Silverlight sera-t-elle meilleure ? J'en doute, car pour que ces problème d'accessibilité soient traités, il faudrait déjà qu'ils soient pris en compte, ce qui est loin d'être le cas.

Pour conclure, les avantages des technologies Rich Internet Applications existent bel et bien mais leurs inconvénients sont malgré tout bien nombreux. Peut-être l'avenir de l'Internet réside-t-il dans ces applications riches, peut-être suis-je sénile, réfractaire à l'innovation et médisant (à 18 ans, ça promet pour la suite !), mais je ne vous demande qu'une chose : imaginez un Web où chacun de nos choix logiciels et matériels impliquerait un accès partiel à l'information contenue sur la Toile, imaginez encore que votre droit d'accès à l'information dépendent des choix mercantiles du distributeur d'une technologie propriétaire, imaginez... Non ! N'imaginez plus ! L'heure n'est plus aux rêveries : il nous faut trouver un consensus qui permette de garder l'internet libre et ouvert comme il l'est depuis sa création. Comment ? Personne ne le sait encore, et c'est là que vous intervenez. Parlez de ces craintes, expliquez-les, et ensemble trouvons une solution. N'oubliez pas que le futur du Web est entre vos mains...