Fin mai 2007, le risque viral potentiel d’OpenOffice, identifié et formalisé en 2006 et 2007, a trouvé son expression avec le ver BadBunny [BB07] réintroduisant ainsi la menace des macro-vers, mais en l’étendant simultanément à plusieurs systèmes d’exploitation. Cet article montre, via le langage Python, tout le risque viral lié à une trop grande richesse fonctionnelle des applications bureautiques et en particulier de leur architecture, richesse qui devrait faire l’objet d’une gestion adaptée de toute politique de sécurité. Cette dernière devrait également inclure les objectifs de sécurité lors de la conception même d’une telle architecture : la richesse fonctionnelle peut se révéler extrêmement dangereuse si l’architecture n’est pas centrée autour de la sécurité. C’est précisément le problème actuel des suites bureautiques actuelles – à des degrés divers – dans lesquelles les fonctionnalités, les services et l’ergonomie sont les seules priorités véritablement considérées.
Comme il a été illustré avec le macro-ver BadBunny [BB07], le principal intérêt des virus de documents réside dans leur grande portabilité : tout client disponible pour différents systèmes d’exploitation permettant l’exploitation quasi universelle de ce format, le nombre de cibles potentielles devient considérable. À ce titre, les principales suites bureautiques – libres et commerciales – sont concernées. Cependant, la richesse fonctionnelle d’une suite comme OpenOffice fait de cette dernière un vecteur particulièrement puissant, d’autant plus puissant que le niveau de sécurité actuel n’est pas adapté à cette richesse. Des travaux récents [JCV07, MISC_OO, SSTIC07, VB07] l’ont clairement démontré. Cette situation doit être désormais sérieusement envisagée dans toute politique de sécurité, laquelle devrait commencer dès début de la conception de l’architecture logicielle et fonctionnelle.
Cet article présente la technologie des codes...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première