10/09/2001
Tout
faire avec des macros Excel et Powerpoint en sécurité
haute
Excel et Powerpoint sont-ils
des facilitateurs de chevaux de Troie ? Si l'on en
croit la dernière
alerte de Microsoft,
il suffit de modifier une chaîne de caractère
dans un document créé par l'un de ces logiciels
et contenant des macros pour éxécuter ces
dernières sans préavis, que les préférences
de sécurité aient été placées
sur basses, moyennes ou hautes. Dans les deux derniers
cas pourtant, l'ouverture du document incriminé
devrait susciter respectivement l'ouverture d'une boîte
de dialogue enjoignant l'utilisateur à donner son
autorisation, et le blocage pur et simple du lancement
de la macro. En effet, Microsoft a intégré
à ses produits une fonction de surveillance des
macros, mais qui se trouve désactivée par
la modification en dur dans le document. Au menu du cracker
: tous les méfaits possibles perpétrés
à l'aide de code éxécutable, depuis
le vol de fichiers par l'intermédiaire d'un cheval
de Troie, jusqu'à l'effacement complet du disque
dur.
Trois mois et demi pour disposer
des correctifs ?
Or,
un petit historique donne clairement à réfléchir
sur la volonté de Microsoft de prendre ses responsabilités
face à cette vulnérabilité. Le 21 juin
2001, l'éditeur publie une première
alerte de sécurité concernant ce problème
en relation avec son traitement de textes Word. Cinq jours
plus tard, le 26 juin, l'éditeur de logiciels
de sécurité Symantec
(lire
la récente alerte du 04/10) l'avertit que la
faille touche également le tableur Excel et l'outil
de présentation PowerPoint. Mais en raison de son
précédent correctif qui traite le mal à
la racine et corrige également la faille vis-à-vis
de ces deux produits, Microsoft ne génère
pas de nouvelle alerte... jusqu'au 4 octobre. Une
personne ayant installé Excel et/ou Powerpoint
en dehors de la suite bureautique Office et ne possédant
pas Word n'aura donc pas remarqué l'importance
du correctif, puisque le communiqué de juin ne
faisait pas mention de ces deux logiciels. Sauf en prenant
connaissance du nouveau communiqué diffusé
la semaine dernière.
Ne pas ouvrir les documents avec
des macros
Dans la logique des choses, ceux de nos lecteurs qui n'auraient
pas appliqué les correctifs correspondants sont
invités à le faire. Le correctif le plus
complet est celui de la première
alerte à propos de Word. Les correctifs correspondant
aux différentes versions Excel et Powerpoint sont
accessibles à partir de l'alerte de début
octobre. Symantec rappelle également l'utilité
d'installer un antivirus et de le mettre à jour
de façon régulière, tout en soulignant
que l'utilisateur d'Excel et de Powerpoint 97/98 se doit
de passer à la version supérieure avant
d'appliquer les correctifs correspondants. Une autre boulette...
D'autre part, bien qu'indispensable, l'étape de
l'antivirus ne protège pas des nouveaux codes malicieux
que ne reconnaissent pas encore les mises à jour.
Même si cela arrive toujours aux autres (il paraît !),
l'on n'est en fait jamais à l'abri de figurer parmi
les premières cibles d'un nouveau code malicieux.
Sans céder à la psychose, la meilleure protection
consiste alors à bouder les documents pouvant contenir
des macros. Face à une source réputée
sûre, tout dépend ensuite du rapport de risque
que l'utilisateur souhaite encourir ou faire encourir
à son entreprise si celle-ci est propriétaire
de son poste de travail.
Destiné aux organisations, le programme
STPP lancé la semaine dernière par Microsoft
ne tient pas compte des problèmes de sécurité
que peuvent endurer les particuliers avec leurs postes
de travail. Or, une telle faille touche typiquement le
grand public. Un public qui n'est pas forcément
sensibilisé à la mise à jour de ses
logiciels, et qui pourtant constitue un relais important
lors de la propagation des virus. Le grand public, ce
sont aussi les professionnels qui, une fois rentrés
chez eux, infectent un document sans le savoir et se l'envoient
au travail par la messagerie. Microsoft cherche donc à
devenir plus responsable envers les entreprises, mais
quand le sera-t-il pour tous ses clients ?
|