Assiste.com
cr 18.06.2013 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Avec le lancement de Windows 10 (présenté le 30 septembre 2014 et disponible depuis le 29 juillet 2015) et du navigateur Web Edge, Microsoft abandonne enfin sa technologie scélérate ActiveX.
ActiveX est une technologie propriétaire, de Microsoft, servant à introduire de l'intelligence dans Internet, à la manière de Java de Sun et, plus généralement, à empaqueter du code exécutable (écrit dans n'importe quel autre langage de programmation et langage de gestion de bases de données Microsoft) et à le distribuer (dont sur le Web avec les pages Web).
De tels programmes sont appelés « Contrôles ActiveX » et peuvent tout faire sur un ordinateur dès qu'ils sont autorisés à s'exécuter, sans aucune restriction.
Cette technologie pose deux problèmes rédhibitoires :
Cette technologie permettant de tout faire a été adoptée très rapidement par les services informatiques et les informaticiens. De grands comptes, incluant les administrations (faire sa déclaration de revenus en ligne, par exemple) ont utilisé cette technologie lors de son lancement. Même des auteurs de solutions de sécurité, comme Patrick Kolla dans son Spybot Search and Distroy (ancienne version), ont plongé dans cette technologie et se sont réveillé totalement étonnés devant la levée de boucliers des utilisateurs un peu avertis. Depuis, cette technologie a été abandonnée à peu près partout, tous les internautes la bloquant. Les sites poursuivant l'usage de cette technologie, comme certaines banques, ont été conduits à suivre une procédure abracadabrantesque de certification mise en place par Microsoft.
Dans Internet Explorer 7, Microsoft reconnaît le pouvoir de nuisance d'ActiveX et restreint l'installation des contrôles ActiveX sous un compte administrateur. Sous Windows Vista et Windows 7, les privilèges natifs d'un utilisateur, même administrateur, sont ceux d'un "compte limité" (« Principe de moindre privilège » - PDF, français, 47 pages, Assiste) - l'administrateur doit dire explicitement qu'il souhaite, momentanément, utiliser ses privilèges administratifs pour l'exécution d'une tâche particulière et il reste en privilèges limités pour toutes les autres tâches qu'il exécute simultanément).
Dans Microsoft Office, Microsoft recommande également d'être très prudent avec ActiveX :
Enable or disable ActiveX settings in Office files (archivé)
Dans son Rapport sur l'insécurité au 1er semestre 2007 ("Symantec Internet Security Threat Report Volume XII: September, 2007"), Symantec met en garde les internautes contre les plug-ins (plugiciels) qu'ils ajoutent à leurs navigateurs Internet. La plupart des plugins spécifiques pour jouer (lire) une ressource audio ou vidéo sur un site sont des chevaux de Troie. Si une ressource ne peut pas être jouée avec un lecteur standard, en provenance de son site officiel (par exemple le plugin Flash), c'est que la ressource a été écrite spécifiquement pour déployer une attaque. En sus, les plugins légitimes eux-mêmes sont sujets à failles de sécurité (Mise à jour de tous les plugins pour tous les navigateurs).
Dans cette étude, qui porte sur le premier semestre 2007, Symantec révèle avoir identifié 237 failles dans les plugins qu'elle a testés, ce qui représente une considérable augmentation (+31%) de la faillibilité des logiciels par rapport au second semestre 2006 où « seulement » 108 failles avaient été trouvées. On peut lire, en bas de la page 6 de ce rapport :
During the first half of 2007, 89 percent of plug-in vulnerabilities disclosed affected ActiveX® components for Internet Explorer
Durant la première moitié de 2007, 89% des failles de sécurité découvertes affectent des composants ActiveX® pour Internet Explorer
|
C'est à partir de mars 1996 que Microsoft annonce, à grands renforts de publicités, un truc nouveau et révolutionnaire : un ensemble d'outils pour Internet - la Technologie ActiveX (techniquement appelée COM - « Component Object Model »). Dans la réalité, ce n'est qu'une nouvelle version, la troisième génération, de la technologie OCX / OLE que Microsoft avait déjà mis au point antérieurement, à une époque où cette société affichait un mépris total pour Internet (on se rappelle que Bill Gates, le Président fondateur de Microsoft et homme le plus riche du monde, avait déclaré « Internet, ça ne marchera jamais ! »).
|
ActiveX est une technologie propriétaire (Microsoft) qui ne fonctionne qu'avec Internet Explorer et uniquement sous Windows (encore que... voir plus bas la pondération de ce propos) donc il est recommandé aux Webmasters de ne jamais l'utiliser s'ils souhaitent avoir un site compatible avec tous les navigateurs (dont Opera, et, surtout, Firefox, le navigateur de référence que tout le monde commence à utiliser en remplacement définitif d'Internet Explorer) et avec tous les systèmes d'exploitation (Mac OS, Linux, Unix, Mainframes etc. ...). Le W3C, l'organisme unifiant et normalisant, entre autres, les langages du Web, ne reconnaît absolument pas ActiveX.
|
Dans sa description succincte d'ActiveX, sur cette page, Microsoft dit en toutes lettres :
« L'un des principaux avantages des contrôles ActiveX par rapport aux programmes Java et aux plug-ins Netscape est la possibilité de les utiliser dans des programmes écrits dans de nombreux langages de programmation, y compris tous les langages de programmation et de base de données Microsoft."
|
|
Devant la levée de boucliers, et pour faire perdurer la technologie ActiveX contre Java, Microsoft introduit plusieurs mesures :
|
Si l'on met de côté le problème de la brevetabilité des logiciels, brevetabilité sur laquelle cette page n'a pas vocation à s'étendre, Microsoft a été condamné à retirer d'Internet Explorer l'automatisme de lancement des plug-in par ses « Contrôles ActiveX ». Cette décision de justice s'appuie sur la violation, par Microsoft, d'un brevet appartenant à la société Eolas et à l'Université de Californie. Ce brevet porte sur l'interopérabilité entre un flux Internet et une application installée sur le poste client (votre PC) recevant ce flux. La simple réception du flux, embarqué dans une page web normale (les balises <object>, <embed> et <applet>), déclenche l'activation automatique du programme (le plug-in) installé sur l'ordinateur pour "exécuter" ce flux entrant. La notion de plug-in imprègne complètement l'Internet (et pas uniquement Internet Explorer mais tous les navigateurs et tous les sites) et cette décision pourrait conduire à des révisions déchirantes de tout l'Internet (tous les sites utilisant l'une quelconque des technologies comme Flash, Adobe Acrobat Reader, RealOne, RealVideo, Windows Media Player, Applets Java, Quicktime et tout ce qui est de type "Rich Media" sont visés !). La décision de justice ne condamne que Microsoft et ses « Contrôles ActiveX » mais les conséquences sont incalculables et concernent directement tous les navigateurs et tous les contenus.
Rappel des faits : en 1999, la société américaine Eolas et l'Université de Californie intentent un procès à Microsoft pour violation d'un brevet (US Patent 5 838 906) qu'ils ont déposé en 1998 (par Mike Doyle, ancien chercheur à l'Université de Californie et dirigeant de la société Eolas Technologies). Mais Microsoft reçoit l'aide du W3C qui s'émeut de la mise à mal des concepts de plug-in qu'il a validé (c'est la crédibilité du W3C qui entre en jeu) et fait état de publications antérieures à celles de Mike Doyle. L'affaire est encore en cours.
Quoi qu'il en soit, Microsoft publie donc, en mars 2006, un "correctif" qui contourne le brevet Eolas et inhibe, dans Internet Explorer (mise à jour pour IE 6 sous Win XP SP2 et Win Server 2003 SP1), l'activation automatique des plug-in par ses « Contrôles ActiveX », ceci afin de ne pas avoir à payer des royalties à la société Eolas, en sus de sa condamnation à payer 521 millions de dollars d'amende. Ceci impacte sur toutes les applications utilisant le moteur de rendu d'Internet Explorer, soit :
Diverses boîtes s'affichent désormais demandant à l'utilisateur d'activer manuellement le plug-in. Par exemple :
|
Il faut peut-être pondérer les propos répétant à qui veut l'entendre que les « Contrôles ActiveX » ne fonctionnent qu'avec Internet Explorer :
En ce qui concerne la société Opera Software AS, elle déclare que son produit Opera ne supporte pas ActiveX ni VBScript et que ces technologies ne sont pas sur la liste des futures caractéristiques d'Opera pour 3 raisons:
|
Nom | Date de création | Alias | Auteur |
---|---|---|---|
AxNTFileSecurity | 16 October 1999 | Belcaf | |
AxNTRegSecurity | 11 November 1999 | Belcaf | |
AxNTService | 13 September 1999 | Belcaf | |
Delfile1.Cab | 08 February 1998 | ||
Delfile2.Cab | 07 January 1998 | ||
Exploder 1.b.3 | 29 February 2000 | Fred McLain | |
File Backup | 21 July 2000 | ||
IEsl.Cab | 13 January 1998 | ||
Multi.Cab | 08 February 1998 | ||
Passgrab.Cab | 13 January 1998 | ||
Readfile.Cab | 08 February 1998 | ||
Reboot.Cab | 08 February 1998 | ||
Rename | 13 January 1998 |
Utilisez un navigateur qui ne supporte pas du tout la technologie ActiveX (et qui ne supporte, d'ailleurs, que les standards de l'Internet et du Web) : Firefox.
Faites pression sur les webmasters et développeurs pour qu'ils utilisent les technologies standard (Java...) au lieu d'ActiveX. Cela fonctionne. Les anciens peuvent, par exemple, se souvenir que Patrick Kolla avait développé, au début de son SpyBot Search and Destroy, une fonction utilisant ActiveX. Devant la levée de protestation, il a changé urgemment son fusil d'épaule.
Utilisez un antivirus
Exécuter la procédure de protection de votre navigateur et de votre navigation (réglages et modules additionnels aux divers navigateurs).
Dans ses articles :
« Comment configurer les technologies de protection réseau de Windows XP SP2 dans un environnement de PME/PMI »
« Comment configurer les technologies de protection réseau Windows XP SP2 dans un environnement Active Directory »
Microsoft recommande d'activer le blocage des demandes d'installation de contrôles ActiveX au sein des processus Internet Explorer pour tous les processus.
Internet Explorer a été retiré le 15 juin 2022 et n'existe plus.
Les encyclopédies |
---|