Les vices cachés des .doc
Des fonctionnalités de Microsoft Word permettent l'injection de virus et la fuite d'informations
Dossier : "SSTIC - la sécurité informatique démystifiée"
Trois chercheurs, dont deux sont des militaires, affirment qu'une bonne partie des fichiers créés ou consultés par les internautes, et tout particulièrement les documents Word, recèlent des fonctionnalités cachées permettant l'injection de codes malveillants et la fuite d'informations confidentielles. Les antivirus et firewalls n'y peuvent rien ou presque : pour parer à ces problèmes de sécurité, il conviendrait donc d'apprendre à se protéger, voire de ne pas utiliser la suite Office de Microsoft (qui comprend les logiciels Access, Excel, Word, Outlook, etc.).
Lors du Symposium sur la sécurité des systèmes d'information (SSTIC), Philippe Lagadec, ingénieur au Centre d'électronique de l'armement (CELAR), a consacré son intervention à ces notions de "formats de fichiers et code malveillant".
Il a rappelé que même s'il a été vérifié par un ou plusieurs antivirus, un fichier téléchargé ou consulté sur internet peut, "à l'insu de l'utilisateur et de l'administrateur, permettre l'"envoi de données confidentielles vers internet, l'installation d'une porte dérobée ou d'un logiciel de commande à distance sur le poste de l'internaute, la destruction ou la falsification de ses données, ou encore "l'écoute des mots de passes saisis au clavier ou circulant sur le réseau".
Dans un article publié dans le numéro de mai-juin 2003, consacré à la guerre de l'information, de la revue MISC, co-organisatrice du SSTIC, Patrick Chambet, consultant en sécurité chez Edelweb et Eric Filiol, directeur du laboratoire de cryptologie et de virologie à l'Ecole supérieure et d'application des transmissions (Esat) se sont plus précisement intéressés à Word.
Alcatel mis à nu
Fait peu connu, le logiciel Microsoft Word comprend en effet des fonctionnalités cachées permettant, entre autres choses, de prendre connaissance des différentes étapes de la rédaction d'un document.
En 2001, Alcatel l'avait appris à ses dépens. Suite à une faille de sécurité dans une série de modems, Alcatel avait publié un communiqué de presse dont un examen détaillé révélait la présence de toute une série de phrases raturées concernant précisément tout ce qu'Alcatel ne voulait justement pas rendre public.
Selon Patrick Chambet et Eric Filiol, dans le cas de Word, "il ne s'agit pas de failles", mais de "fonctionnalités conçues délibérément, certainement dans un souci d'ergonomie toujours plus grande, mais qui au final font de l'utilisateur une victime".
Un document Microsoft Word peut fournir divers types de renseignements. Il contient notamment des informations sur son auteur. Il comprend, par défaut, son nom, celui de son entreprise, les dates et heures de la création et des dernières sauvegardes du fichier ainsi que le temps passé à l'éditer. Il peut aussi révéler le nom de la machine sur laquelle il a été créé, une partie de l'arborescence du disque dur de l'auteur, voire des informations sur la topologie du réseau interne à son entreprise ainsi que le Global Unique Identifier (GUID, identifiant unique attribué lors de l'enregistrement du système). Surtout, il permet de récupérer les modifications effectuées.
Des failles "édifiantes"
A l'appui de leur démonstration, les auteurs citent, dans leur article, deux autres cas de fuites, moins connus qu'Alcatel, mais "particulièrement édifiants". Le premier a permis à un laboratoire de s'apercevoir que l'un de ses fournisseurs avait proposé des tarifs inférieurs à un laboratoire concurrent. L'étude détaillée du devis (un fichier Word) révéla en effet que la secrétaire du prestataire avait tout simplement repris le devis établi pour le concurrent, avant d'en modifier les tarifs à la hausse...
Dans le second cas, les rédacteurs de MISC ont découvert la présence d'un e-mail compromettant dissimulé dans un document Word. Une société de presse les avait contactés pour vanter la sécurité des produits de l'un de ses clients. Le fichier, analysé, révéla le contenu complet d'un e-mail indiquant que la société de presse agissait bien en sous-main pour le compte de son client, et non de sa propre initiative.
"Word bugs"
Autre faille permise par Microsoft Word, ce que les auteurs nomment les "word bugs". Similaires aux "web bugs" (liens dissimulés dans une page html permettant de surveiller ceux qui consultent la page), ces liens cachés dans un document Word peuvent donner des informations sur sa consultation. Ils peuvent ainsi révéler le moment où le fichier a été consulté, le lieu d'où cette consultation a été effectuée ainsi que diverses données concernant l'identité et l'environnement du lecteur et de sa connexion réseau, toutes informations utiles à un assaillant potentiel.
Conclusion de Filiol et Chambet : "Les cas évoqués dans cet article sont d'autant plus effrayants qu'ils se reproduisent sans l'ombre d'un doute dans de nombreuses entreprises ou administrations, qui ne suspectent même pas ces 'fonctionnalités'. Combien d'entreprises mettent quotidiennement en péril leur activité ? Combien de services de l'administration, même parmi les plus sensibles, mettent en danger les données de l'Etat ?"
A titre d'exemple, le moteur de recherche Google référence ainsi plus de 5 000 fichiers .doc sur l'ensemble des sites web du gouvernement français, et plus de 500 000 documents de ce type sur ceux du gouvernement américain.
Contre-mesures
Alors que l'emploi d'antivirus, de firewalls, voire d'outils de détection d'intrusions, tend à se généraliser, ces programmes sont relativement inopérants en la matière. En effet, les failles incriminées ne peuvent être assimilées ni réduites aux seules attaques de type virales, et les fuites d'information ne relèvent pas à proprement parler des méthodes traditionnelles d'intrusion ou de piratage.
Pour Philippe Lagadec, "cette menace est habituellement mal ou sous-évaluée, et les outils disponibles peu adaptés (...), il reste donc beaucoup de recherches à mener dans ce domaine".
Il préconise un certain nombre de mesures en vue de se prémunir de ce genre de problèmes. En premier lieu, sécuriser son poste de travail en installant les dernières mises à jour de sécurité de son système d'exploitation ou de ses logiciels (à commencer par l'antivirus et autres outils de sécurité).
Mais les documents créés au moyen de Word ne sont pas les seuls à contenir de tels codes malveillants, ou à occasionner des "fuites" d'informations potentiellement préjudiciables à l'auteur - ou au lecteur - d'un fichier. Le code source des pages HTML permet lui aussi l'insertion de tels scripts et codes malveillants de type virus informatiques ou "spywares" (ou "espiogiciels", voir notre article).
Ainsi, de même qu'il est fortement déconseillé d'ouvrir les pièces jointes aux e-mails (qui dissimulent souvent des programmes malveillants, quand bien même les mails semblent provenir de personnes de confiance), il est aussi admis qu'il vaut mieux désactiver les contrôles ActiveX ou javascript dans les logiciels de navigation internet et de courrier électronique (voir l'article de Patrick Chambet sur la sécurisation d'Internet Explorer et d'Outlook Express).
Pour sa part, Nicolas Ruff, qui travaille sur la sécurité dans le système d'exploitation Windows, évoquant à ce même SSTIC les "spywares" de Windows XP, conseillait aux internautes d'interdire à Internet Explorer d'accéder au Net et de le remplacer, par exemple, par Mozilla. Une alternative intéressante car si Mozilla est un navigateur, c'est aussi un logiciel de courrier électronique qui remplacera avantageusement la série des Outlook, réputée pour ses failles de sécurité.
Les recommandations de la NSA
En ce qui concerne la Suite Office de Microsoft, Lagadec recommande de suivre la liste des contre-mesures de sécurité proposées par la National Security Agency (NSA) américaine, visant entre autres à n'autoriser que les macros signées (voir aussi le menu Outils/Macro/Sécurite), de désactiver la fonction "enregistrements rapides", et de se servir des formats RTF, HTML ou PDF, qui normalement contiennent beaucoup moins d'informations "hors texte". Pour lui "la publication sur Internet (ou par mail) de fichiers Office "natifs" (DOC, XLS, PPT, MDB, ...) est à proscrire en général".
De leur côté, Filiol et Chambet conseillent d'une part de "ne jamais diffuser un document retouché. Il doit être créé ex nihilo et d'un seul jet" ; ils préconisent également l'utilisation "d'un traitement de texte libre et parfaitement compatible avec la suite Office", tels que Star Office ou OpenOffice (la version "libre", et gratuite, de Star Office), exempts de telles failles de sécurité.
Jean-Marc Manach
2
