Cette page a pour but de démystifier les contrôles ActiveX et les risques de sécurités qui découlent de cette technologie.
Les contrôles Activex est un composant reposant sur la technologie ActiveX de Microsoft (qui repose à son tour sur les normes OLE et COM).
Les contrôles ActiveX sont de plus en plus présents sur les pages WEB permettant par exemple les scans antivirus en ligne, des mises à jour de correctifs; l'installation d'applications (notamment le cas pour flash) etc..
Que sont les contrôles ActiveX ?
Les contrôles ActiveX sont des executables que l'on peut télécharger depuis des pages WEB.
Si vous revisitez la page WEB, ces contrôles ActiveX peuvent être réutilisé à tout moment pour effectuer les tâches pour lesquelles ils ont été conçus.
Comment ça marche ?
Concrètement, vous pouvez voir un contrôle ActiveX comme une application classique qui s'installe sur l'ordinateur (en général, ceci ajoute une entrée dans ajout/suppression de programmes et peut être désinstallé à tout moment).
Lorsqu'un site vous propose d'installer un ActiveX, une barre jaune apparaît en haut. En cliquant avec le bouton droit de la souris dessus, un menu déroulant s'ouvre avec l'option "Installer le contrôle ActiveX"
Une popup s'ouvre alors avec les informations sur le nom du fichier (.cab ou .ocx) et l'éditeur du contrôle ActiveX, ici Kaspersky Labs.
Si vous cliquez sur le bouton installer, le contrôle ActiveX s'installe et execute les opérations pour lesquelles il a été conçu.
A noter que les contrôles ActiveX étant une technologie Microsoft, ces derniers ne fonctionnent pas sur le navigateur Mozilla Firefox par défaut donc dans le cas où vous êtes sur un site utilisant les contrôles ActiveX, utilisez le navigateur WEB Internet Explorer.
Les mécanismes de sécurités
Les contrôles ActiveX étant des applications, rien n'empêche de créer un site WEB fictif proposant des ActiveX qui installent des malwares, un soupçon de de social engineering pour tomper l'internaute et hop l'infection s'installe...
Dans ce cas, quels sont les mécanismes de sécurités proposés pour différencier les contrôles ActiveX sûrs et fictifs ?
La plupart des mécanismes de sécurités reposent sur la notion de confiance :
* Confiance sur le site WEB qui propose le contrôle ActiveX (on peut entre autre jouer sur les sites de confiances/sites sensibles)
* Confiance envers l'auteur/editeur du contrôle;
Pour aider à déterminer si un ActiveX est risqué ou pas, Microsoft utilise une signature digital appelé Authenticode. Lorsque vous téléchargez un ActiveX, Internet Explorer vérifie s'il peut ou pas le télécharger. S'il ne peut avoir d'informations sur ce contrôle, Internet Explorer vous demande s'il peut tout de même le télécharger.
Cette signature ne vous grantit pas que le contrôle est sûr, il atteste juste de l'intégrité et l'authenticité du contrôle que vous téléchargez. Par défaut, les options de sécurités d'Internet Explorer vous demandent la permission de télécharger et bloquer les contrôles qui ne sont pas signés. Dans cette boîte de dialogue, vous pouvez cliquer sur le nom de l'éditeur du composant pour voir le certificat utilisé pour signer le téléchargement.
Souvenez-vous qu'une fois que le contrôle est téléchargé, vous ne pourrez plus voir le certificat, donc vérifiez bien au moment de le télécharger. Vous pouvez importer le certificat en cliquant sur "Installer le certificat".
Voici un exemple de popups "Avertissement de sécurité".. où Internet Explorer vous demande si le contrôle ActiveX peut-être installé
On voit que l'éditeur est : Microsoft Windows Publisher
que l'authenticité a été vérifiée par : Microsoft Windows Verification InterMediate PCA
Voici une capture d'une popup proposant l'installation d'un contrôle ActiveX non signé.
Un point d'exclamation jaune apparaît dans la partie gauche de la popup pour signaler que nous avons affaire à un Activex non signé.
Par défaut, Internet Explorer bloque les contrôles ActiveX non signés et ouvre une popup de confirmation (voir plus haut) pour les contrôles ActiveX signés.
Pour vérifier que c'est bien le cas, dans Internet Explorer cliquez sur le menu Outils > Option internet > Onglet Sécurité > dans partie "Niveau de sécurité" (en bas), à défaut sur "Moyen-haut", bouton "Personnaliser le Niveau"
Internet Explorer refuse de télécharger et executer les contrôles ActiveX non signés.
Pour les contrôles ActiveX signés, une popup s'ouvre alors (voir plus haut).
Les problèmes de sécurités liés aux contrôles ActiveX
Outre le fait, que la technologie ActiveX est une technologie qui a connu beaucoup de vulnérabilités par le passé.
Cette technologie possède des inconvénients qui posent de gros problèmes de sécurités.
* Comme une application classique, le contrôle ActiveX possède donc les mêmes droits que l'utilisateur Windows qui l'execute.
Ce qui signifie que si vous executez un contrôle ActiveX d'une page avec les droits administrateurs, ce dernier a pleinement accès au système, tout ce qu'il faut pour infecter un PC d'où l'importance de ne pas surfer avec les droits administrateurs.
voir : Gestion des utilisateurs sous Windows
Utilisation de DropMyRights pour réduire les droits d'une application
* Comme toute application, on ne peux savoir à l'avance, sans l'avoir exécuté, si celle-ci est sûr à 100% sans risque. Dans le cas des contrôles ActiveX, seules les informations sur l'éditeur sont renvoyées.
Les mécanismes de sécurités des contrôles ActiveX aident à réduire les risques mais ne les suppriment pas.
* Les contrôles ActiveX s'installent sur votre ordinateur et peuvent être réutilisés à tout moment, comme les applications, si le contrôle ActiveX possèdent des vulnérabilités et ne sont pas mis à jour, la vulnérabilité peut être utilisé pour installer des malwares sur l'ordinateur.
Et comme les vulnérabilités sur les applications répandues, il en sort régulièrement, quelques exemples, ces derniers jours :
- BitDefender Online Scanner ActiveX Control Code Execution Vulnerability : http://www.frsirt.com/bulletins/12495
- AOL Radio AmpX ActiveX Control Multiple Buffer Overflow Vulnerabilities : http://www.frsirt.com/bulletins/12382
- Kaspersky Online Scanner ActiveX Control Code Execution Vulnerability : http://www.frsirt.com/bulletins/12015
- RealPlayer IERPCtl ActiveX Playlist Handling Buffer Overflow Vulnerability : http://www.frsirt.com/bulletins/12108
etc...
Voici une liste des dernières vulnérabilités des contrôles ActiveX sur le site FRsirt : http://www.frsirt.com
Comme vous pouvez le voir, il sort régulièrement des vulnérabilités qui peuvent mettre la sécurité de votre ordinateur en péril.
Quelles bonnes habitudes et du bon sens
Encore une fois le bon sens est de prime, on retrouve les mêmes conseils que pour l'installation des applications "classiques".
* Evitez les contrôles ActiveX non signés, configurez Internet Explorer pour refuser l'installation des ActiveX non signés.
* Evitez les contrôles ActiveX signé dont vous ne connaissez pas l'éditeur.
* Acceptez les contrôles ActiveX seulement des sites connus et sûrs : sites de scan en ligne, sites de votre banque etc...
N'installez pas AUTOMATIQUEMENT et à la légère les contrôles ActiveX qu'on vous propose, c'est pas parcequ'on vous propose un ActiveX qu'il faut l'installer... réfléchissez bien au risque, lisez bien ce qui est écrit au niveau de l'éditeur.
Refuser les contrôles ActiveX depuis des sites de jeux en ligne, sites inconnus etc..
* Evitez de multiplier l'installation des contrôles ActiveX, n'installez que les contrôles ActiveX dont vous avez réellement besoin, comme vous avez pu le voir précédemment, il sort très souvent des vulnérabilités, multipliez l'installation des contrôles ActiveX augmentent les probabiltés de vulnérabilités sur votre ordinateur.
* Il est assez facile de maintenir Windows à jour et ses applications pour corriger les vulnérabilités, il est plus difficile de maintenir les contrôles ActiveX à jour, dès lors désinstallez les contrôles ActiveX depuis ajout/suppression de programmes du panneau de configuration une fois l'utilisation effectuée afin de ne pas laisser des vulnérabilités.
Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer
Sachez que le programme SpywareBlaster le fait pour vous (voir Tutorial SpywareBlaster)
Lien associé à cet article : Securiser le navigateur WEB Internet Explorer et Securiser le navigateur WEB Firefox
Plus globalement, vous pouvez lire la page Securiser son ordinateur et connaître les menaces qui vous liste les moyens de propagation et menaces sur internet et vous donne des conseils pour sécuriser votre ordinateur.