Le format de document RTF reste vulnérable

En mars dernier, un éditeur d'antivirus dévoilait l'existence d'une faille dans RTF : un type de fichier en texte enrichi géré notamment par Word. Selon lui, la faille en question pouvait être utilisée pour véhiculer des macro virus...

Quelques jours après cette alerte, Microsoft publiait un nouveau correctif sur son site. Proche du format Texte (.TXT), RTF (Rich Text Format) permet de conserver les caractéristiques principales d'une mise en page Word, tout en assurant la compatibilité du document avec les différentes versions du logiciel (Mac, PC, etc.). Généralement considéré comme sûr, ce type de fichier est communément utilisé pour l'envoi de pièces attachées.

L'éditeur d'antivirus russe Kaspersky Lab vient d'annoncer la découverte du premier virus exploitant la fameuse faille - plusieurs rapports lui ayant été communiqués à ce sujet. Il s'agirait en fait d'un cheval de Troie. Une information qui aurait été confirmée par d'autres sociétés du secteur, telle que Central Command notamment. Baptisé Goga, le virus est classiquement véhiculé par e-mail sous forme de pièces jointes.

Avec Goga, la faille devient réalité
Concrètement Goga s'appuie sur le système de macro de Word (script permettant d'automatiser certaines taches) pour enregistrer le cheval de Troie sur le système d'exploitation cible. Explication : théoriquement, le logiciel de traitement de texte est capable d'alerter un utilisateur lorsque celui-ci cherche à exécuter un modèle de fichier Macro. Une procédure importante puisque qu'une Macro peut permettre d'avoir accès aux ressources système du PC sur lequel elle est exécutée. En fait, la faille de sécurité découverte en mars autorise une exécution sans passer par ce processus d'alerte préalable, si le document de base est au format RTF...

Une fois lancée, la macro extrait du fichier .rtf un code binaire qui va se charger de retrouver les informations de connexion (compte et mot de passe), puis de les stocker dans un fichier texte. Pour finir, Goga lance un script qui envoie ce contenu sur le livre d'or d'un site Web, sur lequel il sera récupéré par le créateur du virus.