Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

ActiveX

ActiveX est une technologie propriétaire de Microsoft servant à introduire de l'intelligence dans Internet, à la manière de Java de Sun. Dès 2006, Microsoft reconnaît le pouvoir de nuisance d'ActiveX.

ActiveX est enfin abandonné par Microsoft

Avec le lancement de Windows 10 (présenté le 30 septembre 2014 et disponible depuis le 29 juillet 2015) et du navigateur Web Edge, Microsoft abandonne enfin sa technologie scélérate ActiveX.


ActiveX est une technologie propriétaire, de Microsoft, servant à introduire de l'intelligence dans Internet, à la manière de Java de Sun et, plus généralement, à empaqueter du code exécutable (écrit dans n'importe quel autre langage de programmation et langage de gestion de bases de données Microsoft) et à le distribuer (dont sur le Web avec les pages Web).

De tels programmes sont appelés « Contrôles ActiveX » et peuvent tout faire sur un ordinateur dès qu'ils sont autorisés à s'exécuter, sans aucune restriction.

Cette technologie pose deux problèmes rédhibitoires :

  1. Elle est complètement hors des standards du Web (c'est une technologie propriétaire à Microsoft et rejetée par l'organisme de gouvernance des standards du Web, le W3C).

  2. Elle est complètement hors de contrôle et permet à n'importe qui d'écrire un site Web avec des pages piégées pour faire absolument tout et n'importe quoi sur n'importe quel PC qui visiterait ce site (vous êtes incités à aller sur ces sites avec des « campagnes de promotion » par Spam ou par Hijacking de votre navigateur vous forçant à visiter les sites piégés en question).

    Cette technologie sert, notamment, à implanter des Adwares, des Spywares, des BHOs (barres d'outils), afficher des Pop-ups, de fausses mises à jour automatiques, des RATs (Remote Administration Tools), des faux scanners de sécurité (faux antivirus, faux antispywares : rogues), des Hijackers, des Dialers, et tout et n'importe quoi, y compris écrire sur les disques, etc. C'est la plaie universelle !

Ce n'est pas Assiste.com qui dit qu'ActiveX est dangereux, c'est Microsoft lui-même : par exemple, sur cette page de leur base de connaissances : « Le processus de vérification de validation WGA (Windows Genuine Advantage) ne se termine pas lorsque vous essayez de valider votre copie de Windows XP ou Windows 2000 Professionnel ». Microsoft dit à plusieurs reprises qu'il faut activer ActiveX pour utiliser WGA ( Windows Genuine Advantage ) mais que cela est dangereux et qu'il faut le désactiver juste après. Si vous êtes sous un compte administratif (« Principe de moindre privilège » - PDF, français, 47 pages, Assiste) c'est catastrophique.

Cette technologie permettant de tout faire a été adoptée très rapidement par les services informatiques et les informaticiens. De grands comptes, incluant les administrations (faire sa déclaration de revenus en ligne, par exemple) ont utilisé cette technologie lors de son lancement. Même des auteurs de solutions de sécurité, comme Patrick Kolla dans son Spybot Search and Distroy (ancienne version), ont plongé dans cette technologie et se sont réveillé totalement étonnés devant la levée de boucliers des utilisateurs un peu avertis. Depuis, cette technologie a été abandonnée à peu près partout, tous les internautes la bloquant. Les sites poursuivant l'usage de cette technologie, comme certaines banques, ont été conduits à suivre une procédure abracadabrantesque de certification mise en place par Microsoft.

ActiveX - Même Microsoft a peur d'ActiveX

Sur le site de Microsoft, on trouve, un peu partout, des mises en garde sur la technologie ActiveX elle-même. Ce qui suit est extrait d'une seule et unique page : http://support.microsoft.com/kb/905226/fr.
  • ActiveX : Ces étapes peuvent augmenter le risque de sécurité et rendre votre ordinateur ou votre réseau plus vulnérable aux attaques d'utilisateurs malintentionnés ou de logiciels nuisibles tels que les virus.

  • ActiveX : Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de ce processus dans votre environnement propre.

  • ActiveX : Si vous décidez d'implémenter ce processus, prenez toutes les mesures nécessaires pour protéger votre système.

  • ActiveX : Nous vous recommandons d'utiliser ce processus uniquement si vous en avez vraiment besoin.

  • ActiveX : Vous pouvez avoir configuré des paramètres afin de renforcer la sécurité de votre ordinateur. Dans ce cas, restaurez les valeurs d'origine de ces paramètres ActiveX après avoir installé le contrôle ActiveX WGA.

  • ActiveX : Certains programmes tiers aident à fournir des mesures de sécurité qui bloquent le contenu ActiveX. Si vous exécutez une ou plusieurs de ces applications, vous devez les configurer de façon à accepter le contrôle ActiveX WGA ou les désactiver de manière temporaire. Une fois les modifications de configuration apportées, vous pouvez installer le contrôle ActiveX WGA. Important La désactivation des logiciels de sécurité peut rendre votre ordinateur vulnérable à des risques de sécurité. Avant de désactiver ou de supprimer un logiciel de sécurité, assurez-vous que vous êtes conscient des risques impliqués. La désactivation de l'application tierce constitue une solution à court terme qui permet d'installer le contrôle ActiveX WGA. Toutefois, une fois ces étapes terminées, nous vous recommandons vivement de réactiver l'application tierce.
Voici la capture de cette page depuis le site de Microsoft, la KB 905226 (Knowledge Base - Base de connaissance) où Microsoft étale sa crainte de sa propre technologie. Nous avons surligné ce que Microsoft pense de l'activation de sa propre Technologie ActiveX (technologie rejetée par les instances de gouvernance des standards du Web - le W3C).

ActiveX : Microsoft KB 905226 où Microsoft étale sa crainte de sa propre technologie
ActiveX : Microsoft KB 905226 où Microsoft étale sa crainte de sa propre technologie

Recommandation de Microsoft si vous êtes contraint d'utiliser un " contrôle " ActiveX

Microsoft recommande, lorsqu'un site vous contraint d'utiliser la technologie ActiveX :
  • Côté émetteur du contrôle ActiveX

    • Faire certifier ses contrôles ActiveX
      Certains sites utilisent la technologie ActiveX, car elle est très permissive (on peut faire ce que l'on veut sur l'ordinateur de l'internaute). C'est le cas des banques, par exemple, dont le panneau de gestion des comptes à distance, par l'internaute, utilise la technologie ActiveX. Microsoft recommande à ces sites de faire certifier leurs " contrôles " ActiveX par un organisme de certification. Il s'agit d'une démarche abracadabrantesque et falsifiable (possibilité de s'ériger en organisme de certification et de produire ses propres certificats, ce qui est invérifiable au niveau de l'utilisateur, même avancé). Ces certifications sont de moins en moins suivies car onéreuses et devant être perpétuellement renouvelées (à la moindre modification du code du programme, aux échéances de la certification, etc. ...).

  • Côté Internaute :

    • L'internaute doit aller dans les paramètres de sécurité d'Internet Explorer et durcir celui-ci en choisissant une configuration de sécurité renforcée. L'internaute lambda ne sait même pas de quoi on parle ici ! Cette configuration réduit, sans les supprimer, les expositions à des risques sécuritaires.

    • En contrepartie de la réduction de l'exposition aux risques sécuritaires d'ActiveX, il devient nécessaire, pour se connecter à un site Web requérant cette technologie, d'ajouter ce site Web à la « zone de confiance de sites approuvés » dans Internet Explorer.

En sus, l'implantation d'un contrôle ActiveX se fait dans le répertoire système, ce qui est totalement prohibé en termes de sécurité et est devenu interdit avec Vista et Seven (noyau protégé, zones système protégées, utilisateur en mode restreint par défaut et non pas en mode administrateur, mais avec des possibilités d'élever ses droits, etc.). Il y a toute une gesticulation de Microsoft pour tenir ActiveX la tête hors de l'eau tout en en ayant peur (nous devons à la technologie ActiveX une très grande majorité des attaques provenant du Web) alors qu'il serait si simple de dire : "Nous nous sommes trompés de combat (contre Java)".

Dans Internet Explorer 7, Microsoft reconnaît le pouvoir de nuisance d'ActiveX et restreint l'installation des contrôles ActiveX sous un compte administrateur. Sous Windows Vista et Windows 7, les privilèges natifs d'un utilisateur, même administrateur, sont ceux d'un "compte limité" (« Principe de moindre privilège » - PDF, français, 47 pages, Assiste) - l'administrateur doit dire explicitement qu'il souhaite, momentanément, utiliser ses privilèges administratifs pour l'exécution d'une tâche particulière et il reste en privilèges limités pour toutes les autres tâches qu'il exécute simultanément).

Dans Microsoft Office, Microsoft recommande également d'être très prudent avec ActiveX :
Enable or disable ActiveX settings in Office files (archivé)

État des lieux en septembre 2007 - 89% des failles dans les plugins sont dues à ActiveX

Dans son Rapport sur l'insécurité au 1er semestre 2007 ("Symantec Internet Security Threat Report Volume XII: September, 2007"), Symantec met en garde les internautes contre les plug-ins (plugiciels) qu'ils ajoutent à leurs navigateurs Internet. La plupart des plugins spécifiques pour jouer (lire) une ressource audio ou vidéo sur un site sont des chevaux de Troie. Si une ressource ne peut pas être jouée avec un lecteur standard, en provenance de son site officiel (par exemple le plugin Flash), c'est que la ressource a été écrite spécifiquement pour déployer une attaque. En sus, les plugins légitimes eux-mêmes sont sujets à failles de sécurité (Mise à jour de tous les plugins pour tous les navigateurs).

Dans cette étude, qui porte sur le premier semestre 2007, Symantec révèle avoir identifié 237 failles dans les plugins qu'elle a testés, ce qui représente une considérable augmentation (+31%) de la faillibilité des logiciels par rapport au second semestre 2006 où « seulement » 108 failles avaient été trouvées. On peut lire, en bas de la page 6 de ce rapport :


Symantec : 89% des failles de sécurité sont dues à la technologie ActiveX

During the first half of 2007, 89 percent of plug-in vulnerabilities disclosed affected ActiveX® components for Internet Explorer
Durant la première moitié de 2007, 89% des failles de sécurité découvertes affectent des composants ActiveX® pour Internet Explorer

ActiveX - Petite histoire d'ActiveX
ActiveX - ActiveX - la machine à attaquer les internautes et les PCs