18 09 2014
Retour a la home
Rubrique Économie
Économie
Rubrique Société
Société
Rubrique Technologies
Technologies
Rubrique Culture
Culture
MOTS CLÉS
 
Tous les mots

DOSSIERS...
 Le projet |  L’équipe |  L’association |  Nos outils  | Actualités |  Sources |  Alertes  
Abonnés : connectez-vous

 
Oubli du mot de passe
TRANSFERT S'ARRETE
Transfert décryptait l'actualité des nouvelles technologies, proposait un fil info quotidien et une série d'outils de veille. Notre agence, refusant toute publicité, dépendait de ses abonnements.
  COPINAGES
Jouez sur iPhone à Lucioles.
Sauvez la planète en lisant Terra Eco.
Et pourquoi pas plonger dans Nautilus ?
Ecoutez Routine.
Chiffre du jour
700 000
dépistages génétiques chaque année en Europe, selon la Commission européenne (...)
Revue de Web
 Lindows harcelé
 Cyberdissidents vietnamiens en appel
 Plus de CO2 = moins d’eau potable
Phrase du jour
"Ce service public que nous assurons a besoin de votre soutien pour perdurer"
L’association Inf’OGM, qui justifie la fin de la gratuité de son bulletin d’information (...)

Dossier
Le nucléaire mis au secret
Dossiers récents
 Racisme en ligne : l’affaire Sos-racaille
 Le fichage des passagers aériens
 La bataille des brevets logiciels
 L’impasse énergétique
 L’hydrogène, une énergie (presque) propre
Tous les dossiers
Spacer
Unes de la semaine

lundi 1er/12 Transfert.net

vendredi 28/11 Économie

jeudi 27/11 Société

mercredi 26/11 Culture

mardi 25/11 Économie

Spacer


17/06/2003 • 17h00

Les vices cachés des .doc

Des fonctionnalités de Microsoft Word permettent l’injection de virus et la fuite d’informations
 

Trois chercheurs, dont deux sont des militaires, affirment qu’une bonne partie des fichiers créés ou consultés par les internautes, et tout particulièrement les documents Word, recèlent des fonctionnalités cachées permettant l’injection de codes malveillants et la fuite d’informations confidentielles. Les antivirus et firewalls n’y peuvent rien ou presque : pour parer à ces problèmes de sécurité, il conviendrait donc d’apprendre à se protéger, voire de ne pas utiliser la suite Office de Microsoft (qui comprend les logiciels Access, Excel, Word, Outlook, etc.).

Lors du Symposium sur la sécurité des systèmes d’information (SSTIC), Philippe Lagadec, ingénieur au Centre d’électronique de l’armement (CELAR), a consacré son intervention à ces notions de "formats de fichiers et code malveillant".

Il a rappelé que même s’il a été vérifié par un ou plusieurs antivirus, un fichier téléchargé ou consulté sur internet peut, "à l’insu de l’utilisateur et de l’administrateur, permettre l’"envoi de données confidentielles vers internet, l’installation d’une porte dérobée ou d’un logiciel de commande à distance sur le poste de l’internaute, la destruction ou la falsification de ses données, ou encore "l’écoute des mots de passes saisis au clavier ou circulant sur le réseau".

Dans un article publié dans le numéro de mai-juin 2003, consacré à la guerre de l’information, de la revue MISC, co-organisatrice du SSTIC, Patrick Chambet, consultant en sécurité chez Edelweb et Eric Filiol, directeur du laboratoire de cryptologie et de virologie à l’Ecole supérieure et d’application des transmissions (Esat) se sont plus précisement intéressés à Word.

Alcatel mis à nu

Fait peu connu, le logiciel Microsoft Word comprend en effet des fonctionnalités cachées permettant, entre autres choses, de prendre connaissance des différentes étapes de la rédaction d’un document.

En 2001, Alcatel l’avait appris à ses dépens. Suite à une faille de sécurité dans une série de modems, Alcatel avait publié un communiqué de presse dont un examen détaillé révélait la présence de toute une série de phrases raturées concernant précisément tout ce qu’Alcatel ne voulait justement pas rendre public.

Selon Patrick Chambet et Eric Filiol, dans le cas de Word, "il ne s’agit pas de failles", mais de "fonctionnalités conçues délibérément, certainement dans un souci d’ergonomie toujours plus grande, mais qui au final font de l’utilisateur une victime".

Un document Microsoft Word peut fournir divers types de renseignements. Il contient notamment des informations sur son auteur. Il comprend, par défaut, son nom, celui de son entreprise, les dates et heures de la création et des dernières sauvegardes du fichier ainsi que le temps passé à l’éditer. Il peut aussi révéler le nom de la machine sur laquelle il a été créé, une partie de l’arborescence du disque dur de l’auteur, voire des informations sur la topologie du réseau interne à son entreprise ainsi que le Global Unique Identifier (GUID, identifiant unique attribué lors de l’enregistrement du système). Surtout, il permet de récupérer les modifications effectuées.

Des failles "édifiantes"

A l’appui de leur démonstration, les auteurs citent, dans leur article, deux autres cas de fuites, moins connus qu’Alcatel, mais "particulièrement édifiants". Le premier a permis à un laboratoire de s’apercevoir que l’un de ses fournisseurs avait proposé des tarifs inférieurs à un laboratoire concurrent. L’étude détaillée du devis (un fichier Word) révéla en effet que la secrétaire du prestataire avait tout simplement repris le devis établi pour le concurrent, avant d’en modifier les tarifs à la hausse...

Dans le second cas, les rédacteurs de MISC ont découvert la présence d’un e-mail compromettant dissimulé dans un document Word. Une société de presse les avait contactés pour vanter la sécurité des produits de l’un de ses clients. Le fichier, analysé, révéla le contenu complet d’un e-mail indiquant que la société de presse agissait bien en sous-main pour le compte de son client, et non de sa propre initiative.

"Word bugs"

Autre faille permise par Microsoft Word, ce que les auteurs nomment les "word bugs". Similaires aux "web bugs" (liens dissimulés dans une page html permettant de surveiller ceux qui consultent la page), ces liens cachés dans un document Word peuvent donner des informations sur sa consultation. Ils peuvent ainsi révéler le moment où le fichier a été consulté, le lieu d’où cette consultation a été effectuée ainsi que diverses données concernant l’identité et l’environnement du lecteur et de sa connexion réseau, toutes informations utiles à un assaillant potentiel.

Conclusion de Filiol et Chambet : "Les cas évoqués dans cet article sont d’autant plus effrayants qu’ils se reproduisent sans l’ombre d’un doute dans de nombreuses entreprises ou administrations, qui ne suspectent même pas ces ’fonctionnalités’. Combien d’entreprises mettent quotidiennement en péril leur activité ? Combien de services de l’administration, même parmi les plus sensibles, mettent en danger les données de l’Etat ?"

A titre d’exemple, le moteur de recherche Google référence ainsi plus de 5 000 fichiers .doc sur l’ensemble des sites web du gouvernement français, et plus de 500 000 documents de ce type sur ceux du gouvernement américain.

Contre-mesures

Alors que l’emploi d’antivirus, de firewalls, voire d’outils de détection d’intrusions, tend à se généraliser, ces programmes sont relativement inopérants en la matière. En effet, les failles incriminées ne peuvent être assimilées ni réduites aux seules attaques de type virales, et les fuites d’information ne relèvent pas à proprement parler des méthodes traditionnelles d’intrusion ou de piratage.

Pour Philippe Lagadec, "cette menace est habituellement mal ou sous-évaluée, et les outils disponibles peu adaptés (...), il reste donc beaucoup de recherches à mener dans ce domaine".

Il préconise un certain nombre de mesures en vue de se prémunir de ce genre de problèmes. En premier lieu, sécuriser son poste de travail en installant les dernières mises à jour de sécurité de son système d’exploitation ou de ses logiciels (à commencer par l’antivirus et autres outils de sécurité).

Mais les documents créés au moyen de Word ne sont pas les seuls à contenir de tels codes malveillants, ou à occasionner des "fuites" d’informations potentiellement préjudiciables à l’auteur - ou au lecteur - d’un fichier. Le code source des pages HTML permet lui aussi l’insertion de tels scripts et codes malveillants de type virus informatiques ou "spywares" (ou "espiogiciels", voir notre article).

Ainsi, de même qu’il est fortement déconseillé d’ouvrir les pièces jointes aux e-mails (qui dissimulent souvent des programmes malveillants, quand bien même les mails semblent provenir de personnes de confiance), il est aussi admis qu’il vaut mieux désactiver les contrôles ActiveX ou javascript dans les logiciels de navigation internet et de courrier électronique (voir l’article de Patrick Chambet sur la sécurisation d’Internet Explorer et d’Outlook Express).

Pour sa part, Nicolas Ruff, qui travaille sur la sécurité dans le système d’exploitation Windows, évoquant à ce même SSTIC les "spywares" de Windows XP, conseillait aux internautes d’interdire à Internet Explorer d’accéder au Net et de le remplacer, par exemple, par Mozilla. Une alternative intéressante car si Mozilla est un navigateur, c’est aussi un logiciel de courrier électronique qui remplacera avantageusement la série des Outlook, réputée pour ses failles de sécurité.

Les recommandations de la NSA

En ce qui concerne la Suite Office de Microsoft, Lagadec recommande de suivre la liste des contre-mesures de sécurité proposées par la National Security Agency (NSA) américaine, visant entre autres à n’autoriser que les macros signées (voir aussi le menu Outils/Macro/Sécurite), de désactiver la fonction "enregistrements rapides", et de se servir des formats RTF, HTML ou PDF, qui normalement contiennent beaucoup moins d’informations "hors texte". Pour lui "la publication sur Internet (ou par mail) de fichiers Office "natifs" (DOC, XLS, PPT, MDB, ...) est à proscrire en général".

De leur côté, Filiol et Chambet conseillent d’une part de "ne jamais diffuser un document retouché. Il doit être créé ex nihilo et d’un seul jet" ; ils préconisent également l’utilisation "d’un traitement de texte libre et parfaitement compatible avec la suite Office", tels que Star Office ou OpenOffice (la version "libre", et gratuite, de Star Office), exempts de telles failles de sécurité.

Sécurité informatique: enfin un colloque "sérieux" en France (Transfert.net):
http://www.transfert.net/a8935

Un général de l’armée française s’inquiète de l’indépendance informatique du pays (Transfert.net):
http://www.transfert.net/a8955

Alcatel Fucks Up Bigtime (Morons in the News):
http://web.morons.org/article.jsp?s...

Article sur la Sécurisation d’Internet Explorer et d’Outlook Express
http://www.chambet.com/publications...

Security Recommendation Guides (National Security Agency):
http://www.nsa.gov/snac/emailexec/

Le site de Star Office:
http://fr.sun.com/produits-solution...

Le site d’OpenOffice:
http://fr.openoffice.org/

 
Dans la même rubrique

27/11/2003 • 19h01

Un traité onusien veut obliger les belligérants à nettoyer les "résidus explosifs de guerre"

26/11/2003 • 18h47

Pour les Etats-Unis, les essais nucléaires ne sont pas encore de l’histoire ancienne

20/11/2003 • 19h00

Les technologies de surveillance automatisée tiennent salon au Milipol 2003

19/11/2003 • 16h23

Un logiciel met tous les physiciens à la (bonne) page

17/11/2003 • 18h38

Une pétition européenne met en doute la fiabilité du vote électronique
Dossier RFID
Les étiquettes "intelligentes"
Dernières infos

28/11/2003 • 19h29

Quand le déclin de la production pétrole mondiale va-t-il débuter ?

28/11/2003 • 19h19

Les réserves de pétrole sont dangereusement surévaluées, dénonce un groupe d’experts

28/11/2003 • 18h33

La Criirad porte plainte contre la Cogema pour avoir diffusé des infos sur les déchets nucléaires

27/11/2003 • 17h14

La Cnil met les"étiquettes intelligentes" sur sa liste noire

26/11/2003 • 19h06

"The Meatrix", un modèle de dessin animé militant, hilarant et viral

26/11/2003 • 18h54

Un observatoire associatif pour lutter contre les inégalités

25/11/2003 • 19h13

Les hébergeurs indépendants ne sont toujours pas responsables, pour l’instant

25/11/2003 • 19h04

Les licences Creative Commons bientôt disponibles en français

24/11/2003 • 22h09

EDF refuse d’étudier la résistance de l’EPR à une attaque de type 11-septembre

24/11/2003 • 18h36

La Grèce bannit la biométrie de ses aéroports à un an des Jeux olympiques

24/11/2003 • 18h16

10 000 manifestants réclament la fermeture de la School of Americas

21/11/2003 • 19h36

Deux affaires judiciaires relancent la polémique sur la responsabilité des hébergeurs

21/11/2003 • 19h04

Un anti-raciste poursuivi en justice pour antisémitisme

21/11/2003 • 18h48

Le festival Jonctions confronte art, technologies et éthique

20/11/2003 • 19h28

Un fonctionnaire ne peut utiliser sa messagerie professionnelle à des fins religieuses


Contacts |  Haut de page |  Archives
Tous droits réservés | © Transfert.net | Accueil
Logiciels libres |  Confidentialité |  Revue de presse