par Michel CROZON
Directeur de la Mission de l'Information Scientifique et Technique
Initialement créé par - et pour - la communauté scientifique internationale, le World Wide Web permet de diffuser, au monde entier, des informations à leur source et en temps réel. Utilisé pour sa puissance de diffusion et son prix de revient modéré, le Web est aujourd'hui victime de son succès. Réservé à un club fermé de scientifiques il y a encore quelques années, il se démocratise chaque jour davantage. Et aujourd'hui en partie saturé, il affiche des contenus hétérogènes, pour ne pas dire hétéroclites, jusque dans leur dimension scientifique.
Le Web académique et scientifique, c'est aujourd'hui la présentation en ligne de milliers de laboratoires et de leurs thématiques de recherche. Ce sont de très nombreux articles scientifiques et de multiples données issues d'expérimentations diverses. Ce sont également d'innombrables annonces de colloques, de séminaires, d'écoles thématiques, d'appels d'offres et de prix scientifiques. Ce sont encore des banques de données sur l'expertise scientifique des chercheurs et ingénieurs, des bases de données thématiques, des annuaires... Soit des sources d'actualité scientifique et des richesses documentaires, chaque jour croissantes et qui semblent inépuisables.
Mais le Web académique et scientifique, semblable à Janus, présente également une autre face... moins valorisante. Tels certains de ces articles scientifiques électroniques qui n'ont connu pour tout filtre critique que celui de leurs auteurs... Ou ces annonces de colloques ou de séminaires, toujours en ligne, bien que périmées depuis longtemps... Ou encore ces annuaires dont les données revêtent parfois un caractère si hétérogène qu'elles semblent difficilement exploitables... Autant d'exemples qui illustrent tous une double réalité : la complexité - souvent masquée - de la réflexion éditoriale, et son corollaire, la publication en ligne de l'information.
" Outre son caractère mondial, le Web a ceci d'innovant qu'il permet potentiellement à chacun d'être aisément producteur d'information ", lit-on ou entend-on fréquemment dire ici ou là. Certes, rédiger à titre privé une " page personnelle " s'avère simple et ludique. Mais il peut en être autrement de la création et du développement d'un site Web à caractère professionnel.
En effet, il va s'agir alors de coordonner une collecte d'informations - fiables - auprès de sources identifiées, de veiller à ce que les textes soient rédigés sans que la teneur initiale en soit trahie et de garantir une mise en page lisible par tous. Il s'avérera également nécessaire de veiller à l'actualisation périodique des informations, de s'assurer que les messages électroniques - que les contenus des pages Web ne manqueront pas de susciter - recevront bien des réponses adéquates. Et ceci, en adaptant certes le site aux évolutions graphiques et technologiques, mais également en développant des interfaces informatiques avec des bases de données préexistantes.
Or, la réalisation de ces missions nécessite souvent des compétences multiples (aisance rédactionnelle, maîtrise du graphisme et des techniques modernes de mise en page, maîtrise du multimédia, connaissances de la programmation et de l'administration informatique, etc.), sans même évoquer l'investissement en temps, qui peut s'avérer non négligeable pour les responsables de ces sites. Ce type de mission peut ainsi relever d'une certaine gageure, alors même que la réalisation de pages Web ne constitue, en règle générale, qu'une mission annexe pour les responsables de sites ou les auteurs de pages Web, qu'ils soient chercheurs, ingénieurs, techniciens ou personnels administratifs.
La production d'informations en ligne - scientifiques comme de toute autre nature - n'est, en effet, pas chose si aisée et encore moins exempte de toute conséquence. Car, loin du vide juridique souvent invoqué en la matière, c'est bien la responsabilité éditoriale de l'auteur des pages Web et celle de son " éditeur ", en l'occurrence son institution, qui vont être engagées, dès lors qu'une mise en ligne d'informations sera effectuée. Quelques règles de base existent pourtant. Régies davantage par le bon sens que par un savoir ésotérique, elles constituent le gage d'une information de qualité, valorisante pour ses auteurs, leur laboratoire ou leur service, ou encore l'institution qu'ils engagent par leurs écrits en ligne.
Why ? Where ? What ? Who ? When ? Pourquoi ? Où ? Quoi ? Qui ? Quand ? Cette succession de questions, appelée encore règle des 5W, a nourri la pratique professionnelle de générations de journalistes, anglo-saxons essentiellement, puis francophones dans une moindre mesure. Cette règle, appliquée habituellement au traitement des faits relatés, qu'ils soient politiques, économiques, sociaux, culturels ou scientifiques, pourrait tout aussi bien être étendue au fait même de mettre en ligne toute information. Passons ainsi en revue ces cinq questionnements.
Autant de questions que nous pourrions nous poser lorsque nous créons des pages Web. Car nous avons tous en mémoire des pages, aux contenus aujourd'hui caduques ou illisibles tant ils sont denses, et qui continuent pourtant d'encombrer l'Internet. Nous connaissons tous des sites Web, dont certains sont fort prestigieux, qui semblent éprouver quelque réticence à afficher leurs liens - parfois très étroits - avec leurs tutelles académiques ou scientifiques, pourtant au moins aussi prestigieuses... D'autre part, beaucoup d'entre nous ont été surpris par certains sites Web scientifiques français dont les contenus sont développés exclusivement en anglais, faisant fi des lecteurs français ou francophones ! Et nous sommes quelques-uns à nous inquiéter pour tel ou tel site, aux contenus d'une rare qualité, et qui ne semble pourtant pas se prémunir contre d'éventuels délits de reproduction illicite, à des fins commerciales...
Commercial : le mot est lancé. Le Web se fait, en effet, chaque jour plus mercantile. Le propos n'est pas ici de vouloir jeter l'anathème sur cette évolution du Web, mais bien d'attirer l'attention sur la structuration du Web et la nature de ses contenus. Car on trouve de tout sur le Web. De la reproduction autorisée comme de la copie illicite ; de la publicité comme de l'information ; de l'information fiable comme de l'information non vérifiée ; de l'information récente - voire en exclusivité - comme de l'information périmée. C'est pourquoi l'éditeur, l'auteur ou le lecteur se doivent d'exercer une certaine vigilance quant à la nature des contenus en ligne.
Prenons l'exemple d'un lien hypertexte, sur une page Web académique ou scientifique, qui conduit le lecteur, qui choisirait de l'activer, vers un autre site Web. Ce lien apparaît-il en soi comme une information précieuse, et par là même un gain de temps offert au lecteur dans sa recherche d'informations, ou constitue-t-il au contraire une forme de publicité gratuite ? Les deux, serait-on tenté de répondre. Et ceci implique d'utiliser l'hypertexte avec discernement. Car, s'il constitue bien une importante avancée dans l'accès facilité à l'information de qualité, il se révèle également un puissant moyen de promotion d'informations non vérifiées. Et cela sans même rappeler la responsabilité éditoriale qui pourrait être invoquée en cas de " rebond " litigieux...
Évoquons également l'exemple des " pages personnelles " d'étudiants hébergées sur des sites académiques ou scientifiques. Les laboratoires de recherche publique ne seraient pas ce qu'ils sont aujourd'hui sans ce formidable vivier de créativité et de ténacité que constituent les étudiants : chercheurs, ingénieurs, thésards ou post-docs. S'ils contribuent, en effet, à irriguer les travaux de recherche des laboratoires, ce sont également souvent eux qui créent les sites Web des laboratoires dans lesquels ils travaillent provisoirement. Et ce sont encore fréquemment eux qui maintiennent à jour ces sites, au fil des mois. Étant donné leur active contribution, de surcroît fort utile pour la communauté, leur interdire toute page personnelle reviendrait à nier leur apport et serait contraire à une longue tradition de liberté de pensée et de parole du monde scientifique. Mais tolérer que ce type de pages se développe de manière anarchique serait tout aussi regrettable. On ne peut que souhaiter leur maintien, certes, mais dans un espace électronique dûment balisé (rubrique clairement identifiée), dans le respect des diverses législations en vigueur et à la condition expresse que leurs contenus revêtent un caractère strictement professionnel, de type curriculum vitae ou article scientifique validé par les chercheurs du laboratoire, etc.
Car proposer en ligne des informations, lorsqu'on appartient au monde de la recherche publique, n'est jamais un acte neutre. Le Web est un outil d'information, certes, mais il peut également se révéler un outil d'image puissant : valorisant, comme pénalisant lorsqu'il n'est pas maîtrisé. A l'heure où le village planétaire de Marshall McLuhan, longtemps annoncé, devient réalité, au moins sous sa forme électronique, le Web scientifique français doit se constituer au travers d'informations visibles, lisibles et crédibles.
En effet, face à ce village électronique, essentiellement anglo-saxon, qu'est le Web, face à ce village qui, chaque jour, devient davantage ville mercantile, il appartient à la communauté des enseignants et des chercheurs français de développer, dans cette mégalopole réticulaire et polyglotte, des lieux de partage gratuit d'informations scientifiques et techniques de qualité et des espaces électroniques francophones, producteurs et acteurs à part entière de l'Internet scientifique international. Les autoroutes françaises de l'information scientifique se doivent, en outre, d'être respectueuses des règles, qu'il s'agisse des diverses législations en vigueur ou des règles de sécurité informatique. Il en va de la crédibilité des auteurs, de leurs laboratoires ou de leurs services, mais également de leurs institutions, qu'elles soient académiques ou scientifiques.
L'installation des serveurs W3 est facile du point de vue technique, surtout si on se contente d'une configuration de base. Mais à partir du moment où l'on commence à s'inquiéter des aspects sécurité, les choses deviennent moins simples, en particulier si on veut utiliser certaines possibilités particulières de ces serveurs.
La sécurité d'un serveur W3 est liée
Les logiciels serveurs disponibles sont relativement fiables, et si le choix se fait sur l'un de ceux les plus fréquemment utilisés (Apache, NCSA, Netscape, ), on ne risque pas trop de problèmes de ce côté-là. Reste la partie qui est de la responsabilité de l'administrateur-système, à savoir la configuration et les ressources du serveur.
Les différents aspects abordés ci-dessous se traduiront de façon différente suivant le logiciel serveur utilisé, en particulier en ce qui concerne la configuration, mais les principes sont les mêmes dans la plupart des logiciels.
Le premier point sensible concernant la sécurité des serveurs httpd est la façon dont ceux-ci sont démarrés, et en particulier l'identité sous laquelle est démarré le serveur.
La plupart des serveurs sous Unix fonctionnent avec un processus père et un certain nombre de processus fils. Les requêtes au serveur sont traitées par les processus fils et ces logiciels permettent d'indiquer l'identité sous laquelle devront tourner ces processus fils.
En aucun cas ces processus fils ne devraient appartenir à l'utilisateur root.
En cas de trou de sécurité, et donc de possibilité d'intrusion sur la machine à travers le serveur http, ce problème pourra être exploité avec les droits de l'utilisateur auquel appartient le processus. Il est donc fort conseillé de choisir un utilisateur de la machine sans droits particuliers, par exemple nobody ou un utilisateur créé spécialement pour cela.
Un serveur WWW ne doit pas donner accès à l'ensemble des fichiers de la machine sur laquelle il tourne. La configuration du serveur permet d'indiquer une sous-arborescence du système de fichiers qui sera utilisée spécialement pour cela. La configuration permet également, en général, de définir des alias ou de suivre les liens symboliques. Ces deux fonctionnalités, quoique très pratiques, peuvent donner accès à des ressources en dehors de la sous-arborescence du serveur. Elles sont donc à utiliser avec précautions.
Mettre en place un service WWW ne signifie pas pour autant rendre accessible à tout le monde les documents du serveur. Certains services WWW ne sont d'ailleurs accessibles qu'à une certaine population. Cela signifie qu'il faut définir une politique d'accès au service, décider qui a accès à quoi, et configurer le logiciel de manière à appliquer cette politique.
La plupart des logiciels serveurs WWW permettent deux types de protection :
La première méthode est simple à mettre en uvre et ne nécessite pratiquement pas d'administration particulière. Par contre, la seconde implique la gestion de comptes utilisateurs et donc plus de travail.
Les programmes CGI (Common Gateway Interface) sont des programmes destinés à être exécutés par le serveur WWW, en général pour le traitement d'un formulaire, ou dans un autre but. Ces programmes sont exécutés avec les droits de l'utilisateur auquel appartiennent les processus fils du serveur.
L'utilisation de programmes CGI induit des problèmes de sécurité potentiels supplémentaires car ils peuvent eux-mêmes contenir des trous de sécurité. Ainsi des programmes CGI peuvent annihiler complètement les efforts faits pour sécuriser le logiciel serveur lui-même.
Pour essayer de limiter les risques induits par l'utilisation de programmes CGI, on peut :
Si l'administrateur du serveur est le seul à y déposer des fichiers, il peut évidemment s'autoriser à mettre des programmes CGI où il veut. Si ce n'est pas le cas, soit il interdira les CGI dans les répertoires qu'il ne contrôle pas, soit il devra avoir une confiance complète envers les autres personnes déposant des fichiers sur le serveur.
Les logiciels serveurs WWW sont souvent fournis avec un certain nombre d'exemples de programmes CGI qui sont, de plus, dans le répertoire définis par défaut comme contenant des programmes CGI. Il est fortement recommandé de ne pas laisser accessibles ces exemples et de supprimer tout programme CGI qui n'a pas d'utilité particulière dans le serveur.
Les directives SSI (Server Side Include) sont prises en compte par beaucoup de logiciels serveur WWW.
Les SSI sont la possibilité d'introduire dans les fichiers HTML des directives qui seront traitées par le logiciel serveur, lors d'une requête à ces fichiers, avant leur transfert au client.
Le problème principal avec les SSI est la possibilité de faire exécuter des programmes par le serveur. En cela, le problème est sensiblement le même qu'avec les programmes CGI.
Pour réduire les risques liés à l'utilisation des SSI, on peut :
Si vous les autorisez, il vous faut alors contrôler sérieusement le contenu de vos fichiers, surtout si vous laissez à d'autres personnes la possibilité de déposer des fichiers sur votre serveur.
Les logiciels serveurs WWW permettent souvent de rendre accessibles des fichiers appartenant au répertoire personnel des utilisateurs de la machine.
Le fait de rendre ainsi accessibles des fichiers des utilisateurs oblige à prendre certaines précautions en limitant au maximum les fonctionnalités possibles au niveau de ces répertoires, en particulier :
La sécurisation d'un serveur WWW doit se faire à différents niveaux. Si l'administrateur est seul maître du contenu du serveur, il est clair que les choses seront plus simples, mais, la plupart du temps, ce n'est pas le cas, et certaines précautions sont à mettre en uvre. En particulier :
