Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Active Scripting (formellement : ActiveX Scripting) est l'implémentation choisie par Microsoft de la technologie de scripts basée sur des composants ré-utilisables (partagés - au même titre que les DLLs).

Active Scripting est basé sur COM (Component Object Model) aussi appelé ActiveX) et, plus précisemment, prolonge et remplace l'ancienne technologie appelée « automatisation OLE (Object Linking and Embedding) », un sous-ensemble de COM qui, elle-même, prolongeait et remplaçait une technologie encore plus ancienne : DDE (Dynamic Data Exchange).

Active Scripting permet l'installation de moteurs de scripts grâce au modèle client/serveur dans lequel une application (appelée le « client ») peut prendre le contrôle d'une autre application (appelée le « serveur ») en communiquant avec elle car Active Scripting (et ses prédécesseurs) défini un format de communication inter-processus pour des applications qui utilisent des formats normalement divergents et incompatibles. Active Scripting est donc, entre autres, un protocole de communication.

Les applications les plus connues basées en tout ou partie sur Active Scripting sont ASP (Active Server Pages) - écriture de scripts côté serveur pour des sites générant leurs pages dynamiquement - le suffixe des pages est alors .asp, Internet Explorer bien sûr avec ActiveX ou encore le WSH (Windows Scripting Host) de Windows, qui doit être vu comme le pendant Windosien du Shell du noyau Linux (par exemple le Bourne shell).

Active Scripting représente donc un risque sécuritaire lorsqu'une URL piégée ou un site piégé exploite cette technologie. Il convient donc de :

Si les technologies sont développées dans des langages évolués comme C++ ou C# etc., l'écriture des scripts faisant appel à ces technologies, elle, est simplifiée et fait appel à des langages de développement de scripts comme Visual Basic pour Script (VBScript) ou Java pour Script (JScript)... Ces deux langages de scripts sont livrés en standard dans les produits Microsoft mais il en existe de nombreux autres, alternatifs, commerciaux ou gratuits (Perl, Python, Tcl, Tk...)

Microsoft tend à remplacer à nouveau cette technologie par une nouvelle : .NET Framework. Les langages commes VBScript ou JScript ne connaîtrons pas de nouvelle évolution ou mise à jour.



Archives 2002 - Une faille dans TOUTES LES VERSIONS d'Internet Explorer permet à un attaquant, non seulement de voir le contenu des cookies (qui peuvent contenir des informations extrêmement sensibles comme des numéros de compte et des mots de passe faciles à cracker) mais aussi d'en modifier le contenu !!!

En écrivant des URL d'une certaine manière, un attaquant peut accéder aux cookies d'autres sites que le sien (normalement, les sites (un domaine) ne peuvent manipuler (lire, créer, modifier) que les cookies attachés à leur propre domaine (site)) sur votre ordinateur et injecter un script qui permet d'en éditer (modifier) le contenu. Il suffit que vous tombiez sur certaines pages de sites piégés (trapped) ou que vous ouvriez un e-mail contenant un tel type d'URL. Cette vulnérabilité est classée en sévérité élevée par Microsoft.

Pour vous prémunir contre ce risque et, plus généralement, pour protéger vos données et durcir votre sécurité, vous devez désactiver la technologie Active Scripting.

Contre-mesure : un correctif existe, dans Windows Update, depuis 2002 !



Désactiver Active Scripting consiste à bloquer l'usage d'ActiveX dans Internet Explorer - certains sites, assez peu nombreux et assez marginaux, ne fonctionneront plus, sachant que les grands sites, type banques, administrations etc. ont choisi d'utiliser les standards de l'Internet et du Web et n'utilisent pas ActiveX qui :

  1. N'est pas une technologie standard

  2. Est rejeté par les organismes de normalisation du Web

  3. Est en voie de disparition

  4. N'est reconnu que par Internet Explorer qui, comme d'habitude, n'est compatible qu'avec lui-même

Faire : Internet Explorer Désactiver Active Scripting Outils Désactiver Active Scripting Options Internet Désactiver Active Scripting Onglet « Sécurité » Désactiver Active Scripting Sélectionner une zone de sécurité (Internet, Réseau local...) Désactiver Active Scripting Déplacer le curseur vers le haut (protection la plus élevée) ou moyen avec clic sur « Personaliser le niveau » Désactiver Active Scripting choisir de retablir sur « Moyen - Haut » Désactiver Active Scripting clic sur le bouton Réinitialiser.



  • Active Scripting