Anti ActiveX - Contrôler les contrôles !

Comment lutter et se défendre contre les contrôles ActiveX

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
abc de la sécurité
Safe Cex
Safe Attitude

Le bon Antivirus
Le bon Pare-feu (firewall)
Le bon Anti-trojans
Le bon Proxy
Le bon Anti-Spam
Le bon Contrôleur d'intégrité
Le bon navigateur Internet
Le bon client de messagerie
Le bon nettoyeur de traces internes (gratuit)
Le bon nettoyeur de traces MRUs (gratuit)
Quelques Réglages de sécurité (gratuit)
Quelques autres réglages de sécurité (gratuit)
Quelques ActiveX bloqués (gratuit)
Quelques Spywares bloqués (gratuit)
Quelques sites bloqués (gratuit)
Une boîte à outils (gratuit)
La protection proactive contre les failles de sécurité

Autres produits et services Anti-activeX
ActiveX
Contre mesure - Anti-ActiveX
Liste de contrôles ActiveX hostiles
O16 - Liste de CLSID hostiles dont des ActiveX
Plugin ActiveX pour Mozilla et FireFox
Piloter Windows Media Player sous Firefox avec ActiveX
Description des technologies ActiveX par Microsoft
Microsoft perd le procès Eolas - Activer les ActiveX
 
 
En 2 mots
  1. Mesure préventive :
    Désactiver complètement ActiveX
    Installez et exécutez SpywareStopper
    Installez et exécutez SpywareBlaster

  2. Mesure curative :
    Se débarasser des parasites préalablement installés - Installez et exécutez PestPatrol

  3. Mesure stratégique :
    Naviguez avec Firefox en remplacement de l'infâme Internet Explorer (le générateur de failles en flux continu)
    Remplacez OutLook ou OutLook Express par Thunderbird

Pour aller plus loin
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez et exécutez SpyBlocker
Installez une liste noire de blocage avec Hosts
Désactivez WSH « Windows Scripting Host » avec NoScript

Pour comprendre
Qu'est-ce que ActiveX ?

Lutter contre les ActiveX équivaut à lutter contre, entre autres, les spywares et la publicité qui utilisent intensivement cette technologie.

Les applications concernées sont Internet Explorer de Microsoft, les navigateurs s'appuyant sur la couche physique d'Internet Explorer et les applications mutualisées avec Internet Explorer soit :
  • Windows Explorer
  • Internet Explorer
  • MSN Explorer
  • AOL® Explorer
  • AOL® 8.0
  • AOL® 9.0
  • CompuServe 2000
  • AIM®
  • NetCaptor
  • Browse3D
  • Macromedia Dreamweaver
  • Macromedia Contribute
  • Netscape® 8 (lorsqu'il utilise Internet Explorer comme moteur de rendu)
  • OutLook Express de Microsoft
  • OutLook de Microsoft
Les navigateurs comme Opéra, Netscape ou Firefox ne sont pas affectés par cette faille de sécurité majeure que constitue la technologie ActiveX, non standard et propriétaire.

Autoriser votre navigateur à exécuter un contrôle ActiveX est exactement la même chose que faire un double clic sur un programme exécutable (un ".exe" !). C'est exécuter un programme. Un contrôle ActiveX est un programme normal en pire car vous n'avez même pas ce double clic à faire pour le lancer. La manière de le lancer est différente et automatique ! Au lieu d'être recherché et exécuté depuis votre disque dur, il est recherché sur le Net, téléchargé depuis la page Internet que vous visitez, installé et exécuté. Est-ce qu'il vous vient à l'idée de lancer n'importe quel programme téléchargé, les yeux fermés, sans même savoir ni ce qu'il est ni ce qu'il fait ?

A la rigueur, faites un clic droit (un clic avec le bouton droit de la souris) et téléchargez (enregistrez-sous...) un contrôle ActiveX puis analysez le fichier téléchargé avant d'y toucher.

Prenez l'habitude d'analyser tous vos téléchargements avant de les utiliser !
Analyse antivirus / anti-trojans avec "VirusTotal" (27 antivirus)
Analyse antivirus / anti-trojans avec "Jotti's VirusScan" (15 antivirus)
 
Lancer un désinstalleur avant d'installer un programme (téléchargé ou non ) !
Total Uninstall
Ashampoo UnInstaller Suite
 


Utilisez ce lien pour pointer ici depuis un forum ou un autre siteSe prémunir contre ActiveX :
  1. Meilleure solution : Se débarrasser du trio infernal Internet Explorer + OutLook + ActiveX
    Changez de navigateur - abandonner le trio infernal ActiveX, Internet Explorer, OutLook, imposé par un diktat de Microsoft, au profit du couple gagnant Firefox + Thunderbird. Voir les Alternatives à IE. D'un seul coup vous échappez à toutes les technologies scélérates d'Internet Explorer, comme les ActiveX et les BHOs mais, en plus, vous échappez à ce navigateur qui est, en lui-même, un générateur de failles de sécurité en flux continu et, en sus, vous gagnez en confort et vitesse de navigation.

    Les développeurs de sites d'un côté (les Webmasters) et les responsables de grands parcs d'ordinateurs hétérogènes de l'autres, feront remarquer, en sus, que ActiveX est une technologie propriétaire de Microsoft pour les seuls navigateurs Internet Explorer sous les seuls systèmes d'exploitation Windows et n'est pas disponible sous d'autres systèmes d'exploitation ni sous d'autres navigateurs. Il est donc impératif, pour de simples questions de bon sens, de portabilité des sites et d'homogénéité des comportements utilisateurs, de ne pas s'enfermer dans ActiveX.

    Téléchargez puis installez Firefox et Thunderbird, déclarez-les en navigateur et client de messagerie par défaut puis bloquer, dans votre pare-feu, les applications Internet Explorer et OutLook de manière qu'elles n'aient plus le droit de se connecter au Net (on ne peut désinstaller Internet Explorer et OutLook à cause de la mutualisation de plusieurs composants , mutualisation qui est une solution technique élégante mais, simultanément, une hypocrisie de Microsoft).

  2. Utilisez ce lien pour pointer ici depuis un forum ou un autre siteSolution de précaution : Désactiver complètement ActiveX tout en conservant Internet Explorer
    Si vous êtes obligés d'utiliser Internet Explorer, (on ne voit d'ailleurs pas pourquoi), et même si vous ne l'utilisez plus parce que vous êtes passé à Opéra ou Firefox, vous devez interdire l'exécution des contrôles ActiveX afin de vous prémunir contre ceux déjà installés en réglant IE comme ceci : Internet Explorer > Outils > Options Internet > Onglet "Sécurité" > Zone "Internet" > Personnaliser le niveau > Contrôles ActiveX et Plugins > Réglez entièrement la gestion des Contrôles ActiveX sur "désactivé" > Ok > Oui > Appliquer > Ok

    Réglages ActiveX moyen dans Internet Explorer


  3. Au pis aller : Contrôlez les contrôles ActiveX
    On ne peut permettre leur exécution qu'avec extrême prudence et sous votre contrôle en obligeant (paramétrant) Internet Explorer à vous demander l'autorisation d'installer quelque contrôle ActiveX que ce soit. Comment ?
    • En n'acceptant que les contrôles certifiés "de confiance"
    • Ne provenant que de sites de confiance
    • Sous réserve que vous soyez consulté avant l'exécution du code
    • En rejetant automatiquement tous les autres contrôles ActiveX (non-certifiés...)
    Sauf cas très particuliers de sites qui s'arqueboutent sur ActiveX (comme Microsoft avec son site "Windows Update"), il est parfaitement loisible de naviguer normalement sans ActiveX du tout. Le navigateur Firefox, le plus respectueux des recommandations du W3C et qui remplace petit à petit Internet Explorer chez les internautes, ignore complètement cette technologie inutile et dangereuse. Si vous souhaitez, lors d'une exception, utiliser Internet Explorer pour visiter un site utilisant, malgré tout, ActiveX, et vous obligeant à l'accepter, réglez Internet Explorer, au minimum, comme suit (image 1) et, de préférence, comme sur l'image 2 :

    Internet Explorer > Outils > Options Internet > Onglet "Sécurité" > Zone "Internet" > Personnaliser le niveau > Réglez la gestion des Contrôles ActiveX comme suit (Image 1 ou 2) > Ok > Oui > Appliquer > Ok

    Réglage minimum (à gauche) et préférentiel (à droite) pour contrôler les contrôles ActiveX

    Réglages ActiveX moyen dans Internet Explorer   Réglages ActiveX dur dans Internet Explorer


Conséquence de la prise de contrôle des contrôles ActiveX :
Lorsque la demande d'autorisation est activée (réglage 1 ou 2 ci-dessus), une fenêtre vous averti enfin de ce qui se trame habituellement dans votre dos. Il vous est demandé quelle action exécuter selon qu'il s'agit d'un Contrôle ActiveX signé ou non signé. Remarquez le point d'exclamation dans un triangle jaune pour signaler les contrôles ActiveX non signés.


Un contrôle ActiveX signé (donc en principe sûr) demande l'autorisation de s'implanter
Un contrôle ActiveX signé (donc en principe sûr) demande
l'autorisation de s'implanter et de s'exécuter

Un contrôle ActiveX signé (donc en principe sûr) demande l'autorisation de s'implanter
Un contrôle ActiveX non signé (remarquez le point d'exclamation sur fond de triangle jaune)
donc, peut-être, dangereux ou hostile, demande l'autorisation de s'implanter et de s'exécuter

Notez bien, dans les commentaires des 2 images ci-dessus, que les contrôles ActiveX s'installent et s'exécutent. Ce qui signifie qu'ils sont déjà téléchargés sur votre ordinateur, au même titre qu'un programme que vous auriez téléchargé. Ils peuvent être re-sollicités et ré-utilisés.

La plupart des bho, des dialers et des hijackers utilisent la technologie ActiveX pour s'installer ce qui prouve, encore une fois, qu'Internet Explorer est la cible de toutes les attaques et qu'il est préférable d'utiliser un navigateur alternatif et en "Open Source" comme Firefox (le code d'écriture - le code "source" - de Firefox est public et tout le monde, les techniciens de la chose en tout cas, peut vérifier qu'il ne comporte aucune fonction cachée ou malveillante). Voir anti-Internet Explorer.


Conséquence de la suppression d'Internet Explorer et d'ActiveX :
Dans la pratique, seul le site Windows Update devient inaccessible. Vous pouvez alors autoriser, une fois par mois, Internet Explorer à allez sur le Net avec ActiveX activé pour mettre à jour Windows puis re-bloquer le tout immédiatement.


Quels sont les contrôles ActiveX actuellement installés et garder un oeil dessus
Plusieurs utilitaires permettent de voir la liste des contrôles ActiveX actuellement installés sur une machine. L'un des plus simples à utiliser (et gratuit) et Spybot Search & Destroy. Il affiche la liste des contrôles ActiveX actuellement installés et contient une petite base de données qui lui permet de signaler visuellement le niveau de risques encourus par ces contrôles ActiveX:
  • marque verte devant les contrôles ActiveX connus comme légitimes
  • marque rouge devant les contrôles ActiveX connus comme illégitimes.
Cette liste peut être exportée dans un fichier texte pour des analyses ultérieures.

On notera, bien entendu, l'outil HijackThis à utiliser en cas de problème.

Egalement, depuis la mise à jour SP2 de Windows XP, on notera la présence d'une nouvelle fonction dans Internet Explorer :
Internet Explorer > Outils > Gérer les modules complémentaires...

Un contrôle ActiveX signé (donc en principe sûr) demande l'autorisation de s'implanter


Vacciner son ordinateur contre les contrôles ActiveX hostiles connus

Les contrôles ActiveX et le Kill-Bit.

La vaccination, purement préventive, contre les contrôles ActiveX hostiles connus, utilise un "drapeau" de la base de registres de Windows, appelé le "Kill-Bit" (ou "Bit d'arrêt" en Français), pour les taguer. Ceci est décrit dans la base de connaissances de Microsoft : article 240797 disponible en français de la "KB" (Knowledge Base - Base de connaissances) à http://support.microsoft.com/kb/240797/fr.

Des utilitaires se chargent de cela. Ces utilitaires Anti-ActiveX ne doivent absolument pas être confondus avec un quelconque scanner recherchant et éliminant des parasites préalablement installées. Le scan anti-trojans (et donc anti-ActiveX) doit être exécuté, séparément, avec la fonction scanner d'un anti trojan classique. Dans la vaccination il s'agit d'un travail en amont afin, simplement, de les empêcher de s'installer. Les contrôles ActiveX ainsi bloqués sont de toutes natures et, souvent, de plusieurs natures simultanément: Par la même occasion ce sont de très nombreuses pop-up publicitaires, servant de pourvoyeurs de spywares, qui sont bloquées. Les contrôles ActiveX licites ne sont pas affectés. Vous pouvez exécuter Internet Explorer en confiance avec la technologie ActiveX activée. Internet Explorer ne chargera jamais, n'exécutera jamais et ne vous demandera même jamais l'autorisation d'installer un contrôle ActiveX hostile (dans la limite de ceux connus par l'utilitaire), tous les autres (ce qui inclut les contrôles ActiveX hostiles pas encore connus) fonctionnant normalement.
  • Lorsqu'une page piégée essaiera d'installer un composant présent dans cette liste, elle échouera.
  • Lorsqu'une page essaiera d'exploiter un composant présent dans cette liste, même si celui-ci était préalablement réellement installé dans votre machine, elle échouera également.
Les contrôles ActiveX sont identifiés au moyen d'un identificateur unique, de type GUID (Global Unique IDentifier), appelé Class identifier - CLSID. Le fonctionnement des utilitaires de vaccination consiste à installer dans la base de registre de Windows tous les CLSID hostiles connus (dans la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility). La technique de blocage utilisée est celle du "kill bit" telle que décrite par Microsoft dans son article KB240797, bloquant ainsi toute tentative d'installation ultérieure. Une fois cela fait, il n'est d'aucune utilité de laisser l'utilitaire tourner. Il ne prend donc aucune place en mémoire et ne consomme aucun temps de calcul. La méthode est totalement statique. Il suffit d'exécuter une mise à jour, périodiquement. Accessoirement, la technique du Kill Bit peut empêcher l'exécution de certains contrôles ActiveX hostiles qui se seraient installés préalablement, en désactivant leurs CLSIDs, mais il faudra les éliminer physiquement de votre ordinateur avec la fonction scanner d'un anti trojan classique. Cette technique de la vaccination (kill bit) est applicable dans :
  • IE 4.0 for Windows NT 4.0
  • IE 4.01 for Windows 98 SP 1
  • IE 4.01 for Windows 98 SP 2
  • IE 4.01 for Windows NT 4.0 SP 1
  • IE 4.01 for Windows NT 4.0 SP 2
  • IE 5.0 for Windows 98
  • IE 5.0 for Windows 98 Second Edition
  • IE 5.0 for Windows NT 4.0
  • IE 5.01 for Windows 2000 SP 1
  • IE 5.01 for Windows 2000 SP 2
  • IE 5.01 for Windows 98 Second Edition SP 1
  • IE 5.01 for Windows 98 Second Edition SP 2
  • IE 5.01 for Windows 98 SP 1
  • IE 5.01 for Windows 98 SP 2
  • IE 5.01 for Windows NT 4.0 SP 1
  • IE 5.01 for Windows NT 4.0 SP 2
  • IE 5.5 for Windows 2000 SP 1
  • IE 5.5 for Windows 2000 SP 2
  • IE 5.5 for Windows 98 Second Edition SP 1
  • IE 5.5 for Windows 98 Second Edition SP 2
  • IE 5.5 for Windows 98 SP 1
  • IE 5.5 for Windows 98 SP 2
  • IE 5.5 for Windows Millennium Edition SP 1
  • IE 5.5 for Windows Millennium Edition SP 2
  • IE 5.5 for Windows NT 4.0 SP 1
  • IE 5.5 for Windows NT 4.0 SP 2
  • IE 6 for Windows 2000
  • IE 6 for Windows 98
  • IE 6 for Windows 98 Second Edition
  • IE 6 for Windows Millennium Edition
  • IE 6 for Windows NT 4.0
  • IE 6 for Windows XP
  • IE 6 for Windows XP 64-Bit Edition
Lors d'un test comparatif du 15.12.2003, les produits utilisant cette technique préventive comportaient, dans leur base:
  1. SpywareStopper, 808 CLSID d'ActiveX hostiles (+ de très nombreuses autres fonctions)
  2. SpywareBlaster, 776 CLSID d'ActiveX hostiles (+ les cookies à spywares)
  3. SpyBot Search and Destroy, 506 CLSID d'ActiveX hostiles (détecte la présence de SpywareBlaster et conseille de l'utiliser)
  4. RegBlock, 335 CLSID d'ActiveX hostiles
  5. Aluria Spyware Eliminator, 206 CLSID d'ActiveX hostiles
  6. ImmunizeNow!, pas comparé
Lors d'un test comparatif du 27.01.2004, après mise à jour et exécution de SpywareBlaster (qui ajoute plusieurs nouvelles CLSID) puis de SpyBot Search and Destroy (qui n'ajoute rien), exécution de SpywareStopper. Ce dernier trouve encore à ajouter 62 nouvelles CLSID dont plusieurs CoolWebSearch, Gator, IeToolBar, IGetNet, Keen Value, NewDotNet, PrecisionPop, Rank, Roings, S-A-C, SearchBar, Tx4.

Malgré la gratuité des second, troisième et sixième produits de la liste ci-dessus, le premier, SpywareStopper, confirme son très net avantage. Nous recommandons l'acquisition de SpywareStopper qui se révèle un cran au dessus des autres. Quant aux 2 autres produits comparés, RegBlock et Aluria Spyware Eliminator, dans le domaine de la protection par Kill-Bit, ils sont inexistants.


Les produits et services anti-ActiveX
Logithèque des produits et services Anti-activeX




Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music