|
|
|
Windows
: ActiveX
Windows, n'étant pas très sécurisé par
défaut, laisse ouvert d'immenses failles de sécurité
exploitables par des tiers mal intentionnés. Ce guide
rapide permet d'y remédier et d'éradiquer les divers
espions et traceurs de Microsoft.
|
Les contrôles ActiveX, une technologie
peu sûre... La technologie ActiveX est une
technologie de Microsoft qui permet de créer simplement
des pages web avec des effets sympa. Pourquoi alors en parler
ici, sur un site de sécurité informatique ?
Et bien c'est parce que cette technologie, puissante certes,
ne respecte pas certaines règles élémentaires
de sécurité et peut même s'avérer
vraiment dangereuse pour votre système. Nous allons
dans cette petite page faire le point sur les contrôles
ActiveX et sur les risques qu'ils présentent en matière
de sécurité informatique.
INTRODUCTION
Sur le site de Microsoft vous pouvez trouver ce petit paragraphe
sur les fameux contrôles ActiveX : " Les
contrôles ActiveX, précédemment connus
sous le nom de contrôles OLE ou contrôles OCX,
sont des composants (ou objets) que vous pouvez insérer
dans une page Web ou un autre programme de manière
à pouvoir réutiliser une fonctionnalité
intégrée programmée par quelqu'un d'autre.
Par exemple, les contrôles ActiveX qui sont inclus
dans Internet Explorer vous permettent d'enrichir vos pages
Web avec des fonctionnalités de mise en page et des
animations sophistiquées. L'un des avantages
essentiels des contrôles ActiveX sur les programmes
Java et les plug-ins Netscape réside dans le fait
que l'on peut les utiliser aussi bien dans des programmes
écrits dans de nombreux autres langages, y compris
tous les langages de programmation et de bases de données
Microsoft. " source :
http://support.microsoft.com/default.aspx?scid=kb;fr;154544
Les contrôles ActiveX sont donc un
ensemble de routines qui peuvent être utilisées
dans potentiellement tout programme tournant sous Windows
quel que soit le language de programmation utilisé.
Ces composants sont conçus pour pouvoir interagir entre
eux et il est possible d'en produire de très puissants.
Bref, rien de bien méchant à première
vue, ce serait même plutôt bien, sauf que...
PROBLEMES LIES AUX CONTROLES ACTIVEX
Non
respect de la norme W3C
Tout d'abord, la
technologie ActiveX est une technologie propriétaire
de Microsoft et en principe ne peut à ce titre être
interprétée qu'avec le navigateur de Microsoft,
Internet Explorer. Elle ne respecte donc en aucun cas la
fameuse norme internationale W3C dont le but est d'unifier
le codage des pages web afin qu'elles soient interprétées
correctement par n'importe quel navigateur (IE, Mozilla,
Opera...). Les webmasters souhaitant que leurs pages soient
lisibles par le plus grand nombre n'ont donc surtout pas
intérêt à utiliser des contrôles
ActiveX pour écrire leurs pages. Là encore,
rien de dangereux, juste du gênant...
Risques
de sécurité
Les risques liés
aux ActiveX viennent d'une surenchère de Microsoft
pour concurrencer le succès de Javascript de Sun.
Javascript est un langage de script permettant d'améliorer
le HTML, pour créer par exemple des effets et outils
intéressants et pratiques (formulaires, système
de vote en ligne...) sur une page web. Ces scripts s'exécutent
sur la machine locale (donc la vôtre) et non depuis
le serveur, ils sont ainsi beaucoup plus rapides à
s'exécuter, ce qui est bien plus confortable pour
l'internaute. Pour des raisons de sécurité
évidentes, Sun a décidé de ne pas permettre
à Javascript d'écrire sur le disque dur de
l'utilisateur, du coup les possibilités restent tout
de même restreintes. Afin de faire mieux que
son concurrent, Microsoft n'a pas hésité à
franchir le pas et ainsi, les contrôles ActiveX ont
accès à tous les fichiers de votre PC auxquels
vous-même avez accès, c'est-à-dire,
dans la plupart des cas, pratiquement tous ! Pour peu que
vous ayez visité une seule fois une page contenant
un ActiveX, celui-ci est installé de façon permanente
sur votre machine, qui plus est, à votre insu si
vous n'avez pas paramétré Internet Explorer
comme il faut... on imagine ce que cela peut donner si ce
contrôle a été conçu dans un but malveillant!
Une véritable aubaine pour les créateurs de
parasites tels que des chevaux de Troie et autres dialers
donc.
ActiveX certifiés ou non
Afin d'introduire un minimum de sécurité dans
tout ça, Microsoft a instauré un système de
certification pour les ActiveX. La procédure pour
être certifié est assez longue et coûteuse.
Bref, certains ActiveX sont certifiés, d'autres non.
Ceux qui sont certifiés sont censés être
sûrs. On peut cependant bien imaginer qu'un certificat puisse
être contourné ou falsifié afin d'abuser
de la confiance de l'internaute et de lui faire installer
un programme malveillant sur sa machine.
COMMENT SE PROTEGER ?
La présence
de contrôles ActiveX sur certains sites peut donc
présenter un certain risque lorsque vous naviguez
sur le web. Heureusement avec un minimum de paramétrage,
de bon sens et quelques petits logiciels bien choisis, les
risques liés aux ActiveX seront grandement réduits.
Paramétrer Internet Explorer
Il
est possible de paramétrer Internet Explorer pour
qu'il refuse les ActiveX non certifiés et qu'il vous
demande systématiquement l'autorisation avant d'installer
un contrôle ActiveX sur votre machine. Pour
cela, dans le menu "Outils" de Internet Explorer, sélectionnez
"Options internet". Ensuite, dans l'onglet "Sécurité",
cliquez sur "Personnaliser le niveau...".
Dans
la fenêtre "Paramètres de sécurité"
qui s'affiche alors, modifiez les paramètres comme
sur les images suivantes.
Cliquez enfin sur "OK". Si vous le souhaitez, vous
pouvez aussi bien sélectionner dans la liste déroulante
le niveau de sécurité "Elevé". Les
règles seront alors plus sévères.
Trier les ActiveX sur le volet
Une fois
Internet Explorer paramétré, à chaque
fois que vous visiterez une page contenant un ActiveX, une
fenêtre Windows s'ouvrira pour vous demander si vous
acceptez l'installation du contrôle ActiveX. Cette
fenêtre vous indique si ce contrôle est certifié
ou non. Si le contrôle n'est pas certifié un
gros triangle jaune avec un point d'exclamation apparaît
sur la fenêtre. Refusez systématiquement ces
ActiveX non certifiés, ils sont potentiellement dangereux.
N'acceptez les ActiveX certifiés que si ils viennent
de sites de confiance (comme inoculer.com par exemple !).
Vacciner son PC
Différents logiciels
permettent de prémunir sa machine contre bon nombre
d'ActiveX reconnus malveillants. Nous vous en recommandont
deux gratuits et particulièrement performants :
SpywareBlaster et Spybot
S&D. SpywareBlaster est un outil purement préventif
qui empêche l'installation de contrôles ActiveX
hostiles et de cookies à spywares. Une fois la vaccination
faite, ce logiciel n'a pas besoin de tourner davantage,
une mise à jour régulière de la liste
des produits dangereux est suffisante. Spybot S&D
possède un outil de vaccination contre les ActiveX
illicites reposant sur le même principe que SpywareBlaster.
Le nombre de produits dangereux bloqués est nettement
inférieur à celui de SpywareBlaster, d'ailleur
Spybot détecte la présence de SpywareBlaster
sur votre machine et vous le recommande s'il ne le trouve
pas! Spybot S&D comporte cependant bien d'autres outils
antispyware et antitrojan, ce qui fait de ce logiciel un
must à avoir absolument sur son PC.
Changer
de navigateur
Il existe enfin une méthode
radicale pour ne plus craindre les ActiveX malveillants
: changer de navigateur web. En effet, les ActiveX étant
conçus pour ne fonctionner qu'avec les logiciels Windows
(technologie propriétaire oblique), il vous suffit
d'utiliser un autre navigateur qu'Internet Explorer pour
surfer sur le web. Les pages contenant des ActiveX ne s'afficheront
plus bien, mais si le webmaster est si peu soucieux de la
lisibilité de son site sur tous les navigateurs,
c'est sans doute qu'il peut se passer de votre visite ;)
Nous vous recommandons vivement cette solution, non seulement
à cause des problèmes liés aux ActiveX
mais aussi parce que Internet Explorer est sans doute actuellement
le navigateur le moins sécurisé. Vous gagneriez
beaucoup à passer à Firefox
(voire à toute la suite Mozilla) qui est actuellement
un must en matière de navigation (et gratuit !) ou
Opera,
un très bon navigateur gratuit.
A noter tout de même que certains navigateurs comme
Mozilla possèdent des plugin qui permettent de lire
les ActiveX. Nous vous recommandons de ne pas les installer.
Si certains antivirus en ligne
nécessitent l'installation d'ActiveX (pas d'inquiétude,
ceux-ci sont sûrs!), comme celui
de ce site par exemple. Il vous suffit d'utiliser exceptionnellement
Internet Explorer pour cette tâche uniquement.
Dossier WINDOWS
Activer Windows Update : activer la mise à jour votre ordinateur.
Firewall windows : activer le pare-feu de windows XP.
Restauration Système : désactiver ou activer la restauration automatique de Windows.
Process et processus : les programmes exécutés sous Windows NT/2000/XP.
Windows Update : utiliser windows Update pour mettre à jour votre ordinateur.
ActiveX : les contrôles ActiveX, une technologie peu sûre...
|
|
|
|
|