space inoculer.com sécurité informatique gratuite
Accueil | Antivirus gratuits | Firewalls gratuits | Antispywares gratuits | Antirootkits gratuits | Antivirus en ligne | Outils de désinfection
space
space

space
Accueil Sécurité Dossiers Outils
WindowsWindows : ActiveX

Windows, n'étant pas très sécurisé par défaut, laisse ouvert d'immenses failles de sécurité exploitables par des tiers mal intentionnés. Ce guide rapide permet d'y remédier et d'éradiquer les divers espions et traceurs de Microsoft.

Dossiers Inoculer.com

Les contrôles ActiveX, une technologie peu sûre...

La technologie ActiveX est une technologie de Microsoft qui permet de créer simplement des pages web avec des effets sympa. Pourquoi alors en parler ici, sur un site de sécurité informatique ? Et bien c'est parce que cette technologie, puissante certes, ne respecte pas certaines règles élémentaires de sécurité et peut même s'avérer vraiment dangereuse pour votre système. Nous allons dans cette petite page faire le point sur les contrôles ActiveX et sur les risques qu'ils présentent en matière de sécurité informatique.
INTRODUCTION

Sur le site de Microsoft vous pouvez trouver ce petit paragraphe sur les fameux contrôles ActiveX :
" Les contrôles ActiveX, précédemment connus sous le nom de contrôles OLE ou contrôles OCX, sont des composants (ou objets) que vous pouvez insérer dans une page Web ou un autre programme de manière à pouvoir réutiliser une fonctionnalité intégrée programmée par quelqu'un d'autre. Par exemple, les contrôles ActiveX qui sont inclus dans Internet Explorer vous permettent d'enrichir vos pages Web avec des fonctionnalités de mise en page et des animations sophistiquées.
L'un des avantages essentiels des contrôles ActiveX sur les programmes Java et les plug-ins Netscape réside dans le fait que l'on peut les utiliser aussi bien dans des programmes écrits dans de nombreux autres langages, y compris tous les langages de programmation et de bases de données Microsoft. "

source : http://support.microsoft.com/default.aspx?scid=kb;fr;154544

Les contrôles ActiveX sont donc un ensemble de routines qui peuvent être utilisées dans potentiellement tout programme tournant sous Windows quel que soit le language de programmation utilisé. Ces composants sont conçus pour pouvoir interagir entre eux et il est possible d'en produire de très puissants. Bref, rien de bien méchant à première vue, ce serait même plutôt bien, sauf que...


PROBLEMES LIES AUX CONTROLES ACTIVEX

Non respect de la norme W3C

Tout d'abord, la technologie ActiveX est une technologie propriétaire de Microsoft et en principe ne peut à ce titre être interprétée qu'avec le navigateur de Microsoft, Internet Explorer. Elle ne respecte donc en aucun cas la fameuse norme internationale W3C dont le but est d'unifier le codage des pages web afin qu'elles soient interprétées correctement par n'importe quel navigateur (IE, Mozilla, Opera...). Les webmasters souhaitant que leurs pages soient lisibles par le plus grand nombre n'ont donc surtout pas intérêt à utiliser des contrôles ActiveX pour écrire leurs pages. Là encore, rien de dangereux, juste du gênant...

Risques de sécurité

Les risques liés aux ActiveX viennent d'une surenchère de Microsoft pour concurrencer le succès de Javascript de Sun.
Javascript est un langage de script permettant d'améliorer le HTML, pour créer par exemple des effets et outils intéressants et pratiques (formulaires, système de vote en ligne...) sur une page web. Ces scripts s'exécutent sur la machine locale (donc la vôtre) et non depuis le serveur, ils sont ainsi beaucoup plus rapides à s'exécuter, ce qui est bien plus confortable pour l'internaute. Pour des raisons de sécurité évidentes, Sun a décidé de ne pas permettre à Javascript d'écrire sur le disque dur de l'utilisateur, du coup les possibilités restent tout de même restreintes.
Afin de faire mieux que son concurrent, Microsoft n'a pas hésité à franchir le pas et ainsi, les contrôles ActiveX ont accès à tous les fichiers de votre PC auxquels vous-même avez accès, c'est-à-dire, dans la plupart des cas, pratiquement tous ! Pour peu que vous ayez visité une seule fois une page contenant un ActiveX, celui-ci est installé de façon permanente sur votre machine, qui plus est, à votre insu si vous n'avez pas paramétré Internet Explorer comme il faut... on imagine ce que cela peut donner si ce contrôle a été conçu dans un but malveillant! Une véritable aubaine pour les créateurs de parasites tels que des chevaux de Troie et autres dialers donc.

ActiveX certifiés ou non

Afin d'introduire un minimum de sécurité dans tout ça, Microsoft a instauré un système de certification pour les ActiveX. La procédure pour être certifié est assez longue et coûteuse.
Bref, certains ActiveX sont certifiés, d'autres non. Ceux qui sont certifiés sont censés être sûrs. On peut cependant bien imaginer qu'un certificat puisse être contourné ou falsifié afin d'abuser de la confiance de l'internaute et de lui faire installer un programme malveillant sur sa machine.



COMMENT SE PROTEGER ?

La présence de contrôles ActiveX sur certains sites peut donc présenter un certain risque lorsque vous naviguez sur le web. Heureusement avec un minimum de paramétrage, de bon sens et quelques petits logiciels bien choisis, les risques liés aux ActiveX seront grandement réduits.

Paramétrer Internet Explorer

Il est possible de paramétrer Internet Explorer pour qu'il refuse les ActiveX non certifiés et qu'il vous demande systématiquement l'autorisation avant d'installer un contrôle ActiveX sur votre machine.
Pour cela, dans le menu "Outils" de Internet Explorer, sélectionnez "Options internet". Ensuite, dans l'onglet "Sécurité", cliquez sur "Personnaliser le niveau...".

Dans la fenêtre "Paramètres de sécurité" qui s'affiche alors, modifiez les paramètres comme sur les images suivantes.

activeX

activeX

Cliquez enfin sur "OK".
Si vous le souhaitez, vous pouvez aussi bien sélectionner dans la liste déroulante le niveau de sécurité "Elevé". Les règles seront alors plus sévères.

Trier les ActiveX sur le volet

Une fois Internet Explorer paramétré, à chaque fois que vous visiterez une page contenant un ActiveX, une fenêtre Windows s'ouvrira pour vous demander si vous acceptez l'installation du contrôle ActiveX. Cette fenêtre vous indique si ce contrôle est certifié ou non. Si le contrôle n'est pas certifié un gros triangle jaune avec un point d'exclamation apparaît sur la fenêtre. Refusez systématiquement ces ActiveX non certifiés, ils sont potentiellement dangereux. N'acceptez les ActiveX certifiés que si ils viennent de sites de confiance (comme inoculer.com par exemple !).

Vacciner son PC

Différents logiciels permettent de prémunir sa machine contre bon nombre d'ActiveX reconnus malveillants. Nous vous en recommandont deux gratuits et particulièrement performants : SpywareBlaster et Spybot S&D.
SpywareBlaster est un outil purement préventif qui empêche l'installation de contrôles ActiveX hostiles et de cookies à spywares. Une fois la vaccination faite, ce logiciel n'a pas besoin de tourner davantage, une mise à jour régulière de la liste des produits dangereux est suffisante.
Spybot S&D possède un outil de vaccination contre les ActiveX illicites reposant sur le même principe que SpywareBlaster. Le nombre de produits dangereux bloqués est nettement inférieur à celui de SpywareBlaster, d'ailleur Spybot détecte la présence de SpywareBlaster sur votre machine et vous le recommande s'il ne le trouve pas! Spybot S&D comporte cependant bien d'autres outils antispyware et antitrojan, ce qui fait de ce logiciel un must à avoir absolument sur son PC.

Changer de navigateur

Il existe enfin une méthode radicale pour ne plus craindre les ActiveX malveillants : changer de navigateur web. En effet, les ActiveX étant conçus pour ne fonctionner qu'avec les logiciels Windows (technologie propriétaire oblique), il vous suffit d'utiliser un autre navigateur qu'Internet Explorer pour surfer sur le web. Les pages contenant des ActiveX ne s'afficheront plus bien, mais si le webmaster est si peu soucieux de la lisibilité de son site sur tous les navigateurs, c'est sans doute qu'il peut se passer de votre visite ;)
Nous vous recommandons vivement cette solution, non seulement à cause des problèmes liés aux ActiveX mais aussi parce que Internet Explorer est sans doute actuellement le navigateur le moins sécurisé. Vous gagneriez beaucoup à passer à Firefox (voire à toute la suite Mozilla) qui est actuellement un must en matière de navigation (et gratuit !) ou Opera, un très bon navigateur gratuit.
A noter tout de même que certains navigateurs comme Mozilla possèdent des plugin qui permettent de lire les ActiveX. Nous vous recommandons de ne pas les installer. Si certains antivirus en ligne nécessitent l'installation d'ActiveX (pas d'inquiétude, ceux-ci sont sûrs!), comme celui de ce site par exemple. Il vous suffit d'utiliser exceptionnellement Internet Explorer pour cette tâche uniquement.



Dossier WINDOWS
 Activer Windows Update : activer la mise à jour votre ordinateur.
 Firewall windows : activer le pare-feu de windows XP.
 Restauration Système : désactiver ou activer la restauration automatique de Windows.
 Process et processus : les programmes exécutés sous Windows NT/2000/XP.
 Windows Update : utiliser windows Update pour mettre à jour votre ordinateur.
 ActiveX : les contrôles ActiveX, une technologie peu sûre...

space
space  Recommander ce site à un ami | Inoculer.com en favoris | Bannières et boutons | top space
 Copyright © 2001-2024 Inoculer.com - Tous droits réservés