• Virus
• Trojans
• Vers
• Active X
• BHO
• Adwares
• Spywares
• Rootkits
• Dialers
• Spam
• Phishing

• Prévention
• Internet Explorer
• Sécuriser Windows
• Firefox
• Liste Hosts
• Comportement

• Procédures

• Autoruns
• Process Explorer
• Active Ports
• Everest Home Edition
• Ant Renamer 2
• IZArc
• True Crypt
• Wave Pad
• HD Clone
• Total Uninstall
• Rapid Letters
• Winsnap
• Log Protect
• Web Allow
• Infra Recorder
• ISO Buster
• XPize
• Folder Marker
• BISS Hosts Manager
• Virtual Box
• File Assassin
• AVI Demux
• AVI2DVD

• Malekal.com
• Zebulon.fr
• Assiste.com
• Infos-du-Net.com
• Commentcamarche.net
• Speedweb
• Libellules.ch
• Haltospam.com
• PC-Tests
• Open-Files.com
• Gratilog.net
• Clubic.com
• PC-Astuces.com
• Deviantart.com

LES CONTROLES ACTIVE X

Les contrôles ActiveX : définition

ActiveX est une technologie Microsoft qui permet de créer simplement des pages web améliorées, à la manière de Java de Sun, son grand concurrent. Les programmes utilisant cette technologie sont appelés "contrôles ActiveX".

Les contrôles ActiveX, sont des composants (ou objets) que vous pouvez insérer dans une page Web ou un autre programme de manière à pouvoir réutiliser une fonctionnalité intégrée programmée par quelqu'un d'autre. Par exemple, les contrôles ActiveX qui sont inclus dans Internet Explorer vous permettent d'enrichir vos pages Web avec des fonctionnalités de mise en page et des animations sophistiquées. Ce sont donc des routines qui peuvent être utilisées dans potentiellement tout programme tournant sous Windows quel que soit le language de programmation utilisé. Ces composants sont conçus pour pouvoir interagir entre eux et il est possible d'en produire de très puissants.

Rien de bien méchant, au contraire, alors pourquoi en parler ici ? Parce que cette technologie ne respecte pas certaines règles élémentaires de sécurité et peut même s'avérer vraiment dangereuse pour votre système.

Problèmes liés aux contrôles ActiveX

1. Non-respect de la norme W3C

La technologie ActiveX est une technologie propriétaire de Microsoft et en principe ne peut à ce titre être interprétée qu'avec le navigateur de Microsoft, Internet Explorer. Elle ne respecte donc en aucun cas la fameuse norme internationale W3C dont le but est d'unifier le codage des pages web afin qu'elles soient interprétées correctement par n'importe quel navigateur (IE, Firefox, Opera, Netscape, ...). Les webmasters souhaitant que leurs pages soient lisibles par le plus grand nombre n'ont donc surtout pas intérêt à utiliser des contrôles ActiveX pour écrire leurs pages. Jusque là, rien de dangereux ... C'est juste gênant.

2. Risques de sécurité

Les risques liés aux ActiveX viennent d'une surenchère de Microsoft pour concurrencer le succès de Javascript de Sun. Javascript est un langage de script permettant d'améliorer le HTML, pour créer par exemple des effets et outils intéressants et pratiques (formulaires, système de vote en ligne...) sur une page Web. Ces scripts s'exécutent sur la machine locale (donc la vôtre) et non depuis le serveur, ils sont ainsi beaucoup plus rapides à s'exécuter, ce qui est bien plus confortable pour l'internaute. Pour des raisons de sécurité évidentes, Sun a décidé de ne pas permettre à Javascript d'écrire sur le disque dur de l'utilisateur, du coup les possibilités restent tout de même restreintes.

Afin de faire mieux que son concurrent, Microsoft n'a pas hésité à franchir le pas et ainsi, les contrôles ActiveX ont accès à tous les fichiers de votre PC auxquels vous-même avez accès, c'est-à-dire, dans la plupart des cas, pratiquement tous ! Pour peu que vous ayez visité une seule fois une page contenant un ActiveX, celui-ci est installé de façon permanente sur votre machine, qui plus est, à votre insu si vous n'avez pas paramétré Internet Explorer comme il faut... On imagine ce que cela peut donner si ce contrôle a été conçu dans un but malveillant! Dans ce dernier cas, le contrôle peut conduire des adwares, des spywares, des BHOs, des pop-ups, des mises à jour automatiques, des RATs, des scanners, des hijackers, des dialers, etc ... C'est la plaie universelle ...

Les certificats

Pour compenser cette énorme faille de sécurité, Microsoft à mis en place un système de certifications. Certains contrôles ActiveX sont soumis, par leurs auteurs, à des organismes certificateurs et ces certificats numériques sont vérifiés à l'arrivé d'un contrôle ActiveX dans votre ordinateur. Ces certifications sont longues à obtenir, coûteuses et ne facilitent pas la maintenance.

Il y a donc 2 types de contrôles ActiveX, les "certifiés" et les "non certifiés" mais :

• les certificats peuvent être contournés ou falsifiés.
• il semble que les organismes certificateurs donnent leurs certificats numériques à des contrôles ActiveX qui ne sont pas exempts de codes malveillants.
• les utilisateurs, naïfs et exaspérés devant les nombreuses interruptions d'Internet Explorer lorsque celui-ci les avertit des arrivées de contrôles ActiveX non certifiés ou de certificats périmés, désactivent la gestion des certificats.

Si vous êtes obligés d'utiliser Internet Explorer, interdisez l'exécution des contrôles ActiveX ou ne permettez leur exécution qu'avec extrême prudence et sous votre contrôle en obligeant (paramétrant) Internet Explorer à vous demander l'autorisation d'installer quelque contrôle ActiveX que ce soit.

Réglages ActiveX dans Internet Explorer

Sauf cas très particuliers de sites qui s'appuyent sur ActiveX (comme Microsoft avec son site "Windows Update"), il est parfaitement loisible de naviguer normalement sans ActiveX du tout. Le navigateur Firefox, le plus respectueux des recommandations du W3C et qui remplace petit à petit Internet Explorer chez les internautes, ignore complètement cette technologie inutile et dangereuse. Si vous souhaitez, lors d'une exception, utiliser Internet Explorer pour visiter un site utilisant ActiveX et vous obligeant à l'accepter, réglez Internet Explorer comme suit :

Internet Explorer > Outils > Options Internet > Onglet "Sécurité" > Zone "Internet" > Personnaliser le niveau > Réglez la gestion des Contrôles ActiveX comme sur l'image ci-dessous > OK > Oui > Appliquer > OK

Une fois Internet Explorer paramétré, à chaque fois que vous visiterez une page contenant un ActiveX, une fenêtre Windows s'ouvrira pour vous demander si vous acceptez l'installation du contrôle ActiveX. Cette fenêtre vous indique si ce contrôle est certifié ou non. Si le contrôle n'est pas certifié, un gros triangle jaune avec un point d'exclamation apparaît sur la fenêtre. Refusez systématiquement ces ActiveX non certifiés, ils sont potentiellement dangereux. N'acceptez les ActiveX certifiés que s'ils viennent de sites de confiance.

Vaccination

Des utilitaires, comme Spyware Blaster ou Spybot Search and Destroy, sont prévus pour vacciner préventivement le système contre les contrôles ActiveX hostiles connus.

Les contrôles ActiveX licites ne sont pas affectés. Vous pouvez exécuter Internet Explorer en confiance avec la technologie ActiveX activée. Internet Explorer ne chargera jamais, n'exécutera jamais et ne vous demandera même jamais l'autorisation d'installer un contrôle ActiveX hostile (dans la limite de ceux connus par l'utilitaire), tous les autres (ce qui inclut les contrôles ActiveX hostiles pas encore connus) fonctionnant normalement.

Lorsqu'une page piégée essayera d'installer un composant présent dans cette liste, elle échouera. Lorsqu'une page essaiera d'exploiter un composant présent dans cette liste, même si celui-ci était préalablement réellement installé dans votre machine, elle échouera également.

Changement de navigateur

Il existe enfin une méthode radicale pour ne plus craindre les ActiveX malveillants : changer de navigateur Web. En effet, les ActiveX étant conçus pour ne fonctionner qu'avec les logiciels Windows (technologie propriétaire), il vous suffit d'utiliser un autre navigateur qu'Internet Explorer pour surfer.

Cette solution est recommandée, non seulement à cause des problèmes liés aux ActiveX mais aussi parce qu'Internet Explorer est sans doute actuellement le navigateur le moins sécurisé par défaut. Vous gagneriez beaucoup à passer à Firefox qui est actuellement un must en matière de navigation (et gratuit qui plus est !) ou Opera, un très bon navigateur gratuit et rapide.

Note :

• Certains navigateurs comme Mozilla possèdent des plugins qui permettent de lire les ActiveX. Il est déconseillé de les installer.
• Certains antivirus en ligne nécessitent l'installation d'ActiveX pour leur analyse mais ceux-ci sont sûrs ! Il suffit d'utiliser exceptionnellement Internet Explorer pour cette tâche uniquement.

mykerinos.net 2007 | dernière mise à jour le 03.02.2007