ActiveX
Codex Internautus Anonymus - Des contrôles te méfieras !

ActiveX est une technologie propriétaire, de Microsoft, servant à introduire de l'intelligence dans Internet, à la manière de Java de Sun et, plus généralement, à empaqueter du code exécutable et à le distribuer (dont sur et par le Net). De tels programmes sont appelés "Contrôles ActiveX" et peuvent tout faire sur un ordinateur dès qu'ils sont autorisés à s'exécuter, sans aucune restriction. Cette technologie pose deux problèmes rédhibitoires :

1. Elle est complètement hors des standards du Net (c'est une technologie propriétaire à Microsoft et rejetée par l'organisme de gourvernance des standards du Web, le W3C).
2. Elle est complètement hors de contrôle et permet à n'importe qui d'écrire un site Web avec des pages piégées pour faire absolument tout et n'importe quoi sur n'importe quel PC qui visiterait ce site (d'autres techniques comme le Spam ou le Hijacking conduisant ou forçant les PCs à visiter le site en question). Cette technologie sert, notamment, à conduire des Adwares, des Spywares, des BHOs, des Pop-ups, des Mises à jour automatiques, des RATs, des Pseudo scanners de sécurité, des Hijackers, des Dialers etc. ... C'est la plaie universelle !

Ce n'est pas Assiste.com qui dit que ActiveX est dangereux, c'est Microsoft lui-même : par exemple, sur cette page de leur base de connaissances : "Le processus de vérification de validation WGA (Windows Genuine Advantage) ne se termine pas lorsque vous essayez de valider votre copie de Windows XP ou Windows 2000 Professionnel" Microsoft dit à plusieurs reprises qu'il faut activer ActiveX pour utiliser WGA ( Windows Genuine Advantage ) mais que cela est dangereux et qu'il faut le désactiver juste après :

Les gens de Microsoft eux-mêmes disent :
Sur le site de Microsoft, on trouve, un peu partout, des mises en garde sur la technologie ActiveX elle-même. Ce qui suit est extrait d'une seule et unique page : http://support.microsoft.com/kb/905226/fr. Nous avons capturé cette page et surligné ces passages.

• Ces étapes peuvent augmenter le risque de sécurité et rendre votre ordinateur ou votre réseau plus vulnérable aux attaques d'utilisateurs malintentionnés ou de logiciels nuisibles tels que les virus.
  
• Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de ce processus dans votre environnement propre.
  
• Si vous décidez d'implémenter ce processus, prenez toutes les mesures nécessaires pour protéger votre système.
  
• Nous vous recommandons d'utiliser ce processus uniquement si vous en avez vraiment besoin.
  
• Vous pouvez avoir configuré des paramètres afin de renforcer la sécurité de votre ordinateur. Dans ce cas, restaurez les valeurs d'origine de ces paramètres ActiveX après avoir installé le contrôle ActiveX WGA.
  
• Certains programmes tiers aident à fournir des mesures de sécurité qui bloquent le contenu ActiveX. Si vous exécutez une ou plusieurs de ces applications, vous devez les configurer de façon à accepter le contrôle ActiveX WGA ou les désactiver de manière temporaire. Une fois les modifications de configuration apportées, vous pouvez installer le contrôle ActiveX WGA. Important La désactivation des logiciels de sécurité peut rendre votre ordinateur vulnérable à des risques de sécurité. Avant de désactiver ou de supprimer un logiciel de sécurité, assurez-vous que vous êtes conscient des risques impliqués. La désactivation de l'application tierce constitue une solution à court terme qui permet d'installer le contrôle ActiveX WGA. Toutefois, une fois ces étapes terminées, nous vous recommandons vivement de réactiver l'application tierce.
  

Etat des lieux en septembre 2007 - 89% des failles dues à ActiveX

Dans son rapport "Symantec Internet Security Threat Report Volume XII: September, 2007", Symantec met en garde les internautes contre les plug-ins (plugiciels) qu'ils ajoutent à leurs navigateurs Internet.

Dans cette étude, qui porte sur le premier semestre 2007, Symantec révèle avoir identifié 237 failles dans les plug-ins qu'elle a testés, ce qui représente une considérable augmentation (+31%) de la faillibilité des logiciels par rapport au second semestre 2006 où "seulement" 108 failles avaient été trouvées.

During the first half of 2007, 89 percent of plug-in vulnerabilities disclosed affected ActiveX® components for Internet Explorer

La très grande majorité de ces failles, (89 %), se trouve dans des composants ActiveX® (une technologie propriétaire que l'on ne trouve que dans Internet Explorer.

Page 6 de
http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_internet_security_threat_report_xii_09_2007.en-us.pdf

Petite histoire d'ActiveX

C'est à partir de mars 1996 que Microsoft annonce, à grands renforts de publicités, un truc nouveau et révolutionnaire : un ensemble d'outils pour Internet - la Technologie ActiveX (techniquement appelée "Component Object Model". Dans la réalité, ce n'est qu'une nouvelle version, la troisième génération, de la technologie OCX / OLE que Microsoft avait déjà mis au point antérieurement, à une époque où il affichait un mépris total pour Internet (on se rappelle que Bill Gates, le Président fondateur de Microsoft et homme le plus riche du monde, avait déclaré "Internet, ça ne marchera jamais !").

1. ActiveX est une bibliothèque de composants (de "routines") utilisables par tous les logiciels Windows (tels qu'un navigateur Internet), quel que soit le langage utilisé et quelle que soit la société qui a développé ce programme, afin de permettre à ces programmes d'exécuter arbitrairement d'autres programmes à l'intérieur d'eux-mêmes. Cette technologie, comme OLE auparavant, est pensée pour permettre à ces programmes de communiquer entre eux.
   
   
2. La mise à disposition de ces routines, les fameux contrôles ActiveX, toutes faites, augmente considérablement la vitesse de production des applications, les rend plus petites et, accessoirement, augmente la fiabilité (la même routine étant utilisée et donc débuguée par des centaines de développeurs). Entendre par "fiabilité" la capacité du contrôle à répondre à une attente - ce qui n'a rien à voir avec la sécurité - par exemple un contrôle ActiveX chargé de faire l'inventaire des mots de passe sur une machine cible peut-être fiable à 100% car il est capable, sans erreur, de piller tous les mots de passe qu'il cible. On peut dire que cette fiabilité introduit une perte totale de sécurité.
   
   
3. L'écriture de ces contrôles ActiveX, qui n'ont aucune limite d'accès aux ressources matérielles, aux logiciels implantés sur un ordinateur, et aux données qui y sont stockées, permet de produire des applications beaucoup plus puissantes qu'avec de simples scripts.
   
   

Complète incompatibilité d'ActiveX avec les standard du Net

1. ActiveX est une technologie propriétaire (Microsoft) qui ne fonctionne qu'avec Internet Explorer et uniquement sous Windows (encore que... voir plus bas la pondération de ce propos) donc il est recommandé aux Webmasters de ne jamais l'utiliser s'ils souhaitent avoir un site compatible avec tous les navigateurs (dont Opéra, Mozilla, et, surtout, Firefox, le navigateur de référence que tout le monde commence à utiliser en remplacement définitif d'Internet Explorer) et avec tous les systèmes d'exploitation (Mac OS, Linux, Unix, Mainframes etc. ...). Le W3C, l'organisme unifiant et normalisant, entre autres, les langages du Net, ne reconnaît absolument pas ActiveX.
   
   

Débauche de surenchères pour ActiveX afin de concurencer JAVA

1. ActiveX est développé par Microsoft, essentiellement pour contrecarrer la domination planétaire de Java de Sun, l'éternel ennemi, "Sun Microsystems". Il est impensable, dans la culture Microsoft, qu'un autre puisse avoir une part du gâteau ! Evidemment, lorsque l'on se jette dans ce genre de guerre commerciale, il faut en faire plus que le concurrent, donc Microsoft s'est lancé dans une débauche de surenchères et a introduit dans ActiveX des possibilités qui, pour des raisons de sécurité, n'ont jamais été introduites dans Java. En particulier, ActiveX donne accès à la totalité des fichiers et ressources auxquels vous avez accès, c'est-à-dire à la totalité des fichiers, programmes et routines système de votre machine avec les même droits administratifs que vous (voir "DropMyRights").
   
   Dans sa description succinte d'ActiveX, sur cette page, Microsoft dit en toutes lettres :
   "L'un des principaux avantages des contrôles ActiveX par rapport aux programmes Java et aux plug-ins Netscape est la possibilité de les utiliser dans des programmes écrits dans de nombreux langages de programmation, y compris tous les langages de programmation et de base de données Microsoft."
   Et continue en tentant de présenter cette technologie comme un sur-ensemble de Java et Javascript :
   "Les scripts ActiveX prennent en charge la plupart des langages de script courants, y compris Microsoft Visual Basic Script et JavaScript. Les scripts ActiveX peuvent être utilisés pour intégrer le comportement de plusieurs contrôles ActiveX ou programmes Java à partir du navigateur ou serveur Web, étendant ainsi leurs fonctionnalités."
   
   
2. Pour compenser ce manque total de sécurité, Microsoft à mis en place un système abracadabrantesque et falsifiable de certifications. Certains contrôles ActiveX sont soumis, par leurs auteurs, à des organismes certificateurs et ces certificats numériques sont vérifiés lors du flux entrant (à l'arrivé d'un contrôle ActiveX dans votre ordinateur). Ces certifications sont longues à obtenir et coûteuses et ne facilitent pas la maintenance. Il y a donc 2 types de contrôles ActiveX, les "certifiés" et les "non certifiés" mais :
   
   
   1. Les certificats peuvent être contournés ou falsifiés.
      
      
   2. Il semble également que les organismes certificateurs laissent passer et donnent leurs certificats numériques à des contrôles ActiveX qui ne sont pas exempts de codes malveillants. (Est-ce qu'il suffit de les acheter ?...)
      
      
   3. Les utilisateurs, las, incrédules et exaspérés devant les milliers d'interruptions d'Internet Explorer lorsque celui-ci les avertit des arrivées de contrôles ActiveX non certifiés ou de certificats périmés, désactivent la gestion des certificats.
      
      

Insécurité totale d'ActiveX

1. Si vous n'avez pas modifié les réglages d'origine, les contrôles ActiveX s'implantent dans votre ordinateur en silence, à votre insu, s'installent, et s'exécutent. Leurs fonctionnalités deviennent ré-utilisables et/ou se mettent en veille permanente. Que demander de mieux pour les crapules du Net soucieuses de prendre le contrôle de nos ordinateurs et/ou de nos fichiers et données ?
   
   
2. Les contrôles ActiveX doivent être vus comme des programmes ayant les droits les plus élevés sur un ordinateur.
   
   

Contrôles ActiveX et violation par Microsoft du brevet de la société Eolas - Avril 2006

Si l'on met de côté le problème de la brevetabilité des logiciels, brevetabilité sur laquelle cette page n'a pas vocation à s'étendre, Microsoft a été condamné à retirer d'Internet Explorer l'automatisme de lancement des plug-in par ses contrôles ActiveX. Cette décision de justice s'appuie sur la violation, par Microsoft, d'un brevet appartenant à la société Eolas et à l'Université de Californie. Ce brevet porte sur l'interopérabilité entre un flux Internet et une application installée sur le poste client (votre PC) recevant ce flux. La simple réception du flux, embarqué dans une page web normale (les balises <object>, <embed> et <applet>), déclenche l'activation automatique du programme (le plug-in) installé sur l'ordinateur pour "exécuter" ce flux entrant. La notion de plug-in imprègne complètement l'Internet (et pas uniquement Internet Explorer mais tous les navigateurs et tous les sites) et cette décision pourrait conduire à des révisions déchirantes de tout l'Internet (tous les sites utilisant l'une quelconque des technologies comme Flash, Adobe Acrobat Reader, RealOne, RealVideo, Windows Media Player, Applets Java, Quicktime et tout ce qui est de type "Rich Media" sont visés !). La décision de justice ne condamne que Microsoft et ses contrôles ActiveX mais les conséquences sont incalculables et concernent directement tous les navigateurs et tous les contenus.

Rappel des faits : en 1999, la société américaine Eolas et l'Université de Californie intentent un procès à Microsoft pour violation d'un brevet (US Patent 5 838 906) qu'ils ont déposé en 1998 (par Mike Doyle, ancien chercheur à l'Université de Californie et dirigeant de la société Eolas Technologies). Mais Microsoft reçoit l'aide du W3C qui s'émeut de la mise à mal des concepts de plug-in qu'il a validé (c'est la crédibilité du W3C qui entre en jeu) et fait état de publications antérieures à celles de Mike Doyle. L'affaire est encore en cours.

Quoi qu'il en soit, Microsoft publie donc, en mars 2006, un "correctif" qui contourne le brevet Eolas et inhibe, dans Internet Explorer (mise à jour pour IE 6 sous Win XP SP2 et Win Server 2003 SP1), l'activation automatique des plug-in par ses contrôles ActiveX, ceci afin de ne pas avoir à payer des royalties à la société Eolas, en sus de sa condamnation à payer 521 millions de dollars d'amende. Ceci impacte sur toutes les applications utilisant le moteur de rendu d'Internet Explorer, soit :

• Windows Explorer
  
• Internet Explorer
  
• MSN Explorer
  
• AOL® Explorer
  
• AOL® 8.0
  
• AOL® 9.0
  
• CompuServe 2000
  
• AIM®
  
• NetCaptor
  
• Browse3D
  
• Macromedia Dreamweaver
  
• Macromedia Contribute
  
• Netscape® 8 (lorsqu'il utilise Internet Explorer comme moteur de rendu)
  
• OutLook Express
  
• OutLook
• ... On ajoutera à cette liste tous les "skins" d'Internet Explorer

Diverses boîtes s'affichent désormais demandant à l'utilisateur d'activer manuellement le plug-in. Par exemple :

ActiveX - Il n'y a pas que Internet Explorer...

Il faut peut-être pondérer les propos répétant à qui veut l'entendre que les contrôles ActiveX ne fonctionnent qu'avec Internet Explorer :

1. ActiveX plugin pour Netscape :
   http://www.esker.com/esker_com/downloads/active_x/index.html
   
   
2. ActiveX plugin pour Mozilla :
   Mozilla Plugins
   
   
3. ActiveX plugin pour Opera :
   Opera est un produit commercial donc il est totalement improbable qu'un groupe, même de passionnés, ne développe gratuitement (en open source) un plugin ActiveX pour Opera. Quant à la société Opera Software AS, elle déclare que son produit Opera ne supporte pas ActiveX ni VBScript et que ces technologies ne sont pas sur la liste des futures caractéristiques d'Opera pour 3 raisons:
   
   
   1. Opera Software AS a l'intention de ne supporter que les standards Internet ouverts tels que recommandés et décrits par le W3C ou d'autres organisations, ce que ni ActiveX ni VBScript, produits propriétaires sous licence Microsoft, ne sont. En sus, ActiveX est une technologie propriétaire de Microsoft pour les systèmes d'exploitation Windows et n'est pas disponible sous d'autres systèmes d'exploitation.
      
      
   2. Une autre raison pour Opera Software AS est très simple : il n'y a pas assez de demandeurs de cette technologie sur le marché pour garantir la couverture du coût d'implémentation de celle-ci.
      
      
   3. Au surplus, des rapports constants mettent en avant la question de la sécurité dans ActiveX. Il est prouvé qu'ActiveX a de sérieux problèmes de sécurité, certains clamant purement et simplement que le problème est une complète perte de sécurité. Dito pour VBScript.
      
      
4. ActiveX plugin pour Mainframe : la Société ICOM, par exemple, a développé Winsurf Mainframe Access (WMA), une gamme de composants d'émulation ActiveX et Java dans des architectures Intranet/Extranet (offre Web-to-Host). Winsurf Mainframe Access (WMA) est une solution de connectivité Web-to-Host qui intègre les technologies Internet pour accéder en mode émulation aux sites centraux IBM, Unix, DEC, Bull et serveur Vidéotex, depuis un navigateur ou directement sous Windows.
   
   

Liste des Contrôles ActiveX hostiles

Si les contrôles ActiveX servent à implémenter (télécharger et installer) des malveillances classées à Adwares, Spywares etc. ... certains sont, en eux-mêmes, des malveillances directes.
Liste des contrôles ActiveX hostiles.

Contrôler les Contrôles ActiveX et Contre-mesures

Anti-ActiveX