Aperçu sur zdnet.fr. Inquiétant... Hervé Tanguy
<begin:citation> Le ministère de la Défense met OpenOffice à l'index Par Thomas Rousseau ZDNet France 11 juillet 2006 Sécurité - Après un an de travaux, des experts du ministère de la Défense affirment dans un rapport classifié que la suite bureautique libre n'est absolument pas sécurisée. Ils pointent un grave défaut inscrit dans la conception même du produit. Les chercheurs du laboratoire de virologie et de cryptologie de l'ESAT (*) à Rennes sont formels: «Nous pouvons affirmer qu'OpenOffice nous apparaît comme plus dangereux que son équivalent commercial édité par Microsoft». Le 5 juillet, le lieutenant-colonel Eric Filiol, chef de ce labo, présentait les résultats d'une année d'étude consacrée à tous les scénarios possibles d'attaques contre cette suite logicielle. Devant un petit comité, réunissant des membres de différents ministères, il a montré les failles décelées dans OpenOffice. «Nous avons développé un certain nombre de codes malveillants (chevaux de Troie et bombes logiques) - dont certains "autoreproducteurs" - afin de répertorier tous les points faibles du logiciel.» Pour éviter toute fuite et exploitation par des pirates, les codes sources des virus ont fait l'objet d'un rapport classifié qui sera communiqué à tous les organismes d'Etat. Pour les pouvoirs publics, cette découverte constitue une réelle menace. De plus en plus d'administrations, notamment les ministères de l'Économie et des Finances ou de la Défense, utilisent cette suite bureautique. Entreprises et particuliers ne sont pas plus à l'abri. Malgré les affirmations de certains éditeurs, aucun antivirus commercialisé actuellement n'est capable de protéger la suite bureautique open source. Une coopération avec les développeurs est prévue L'antivirus présent sur l'ordinateur de démonstration n'a pas détecté et bloqué les attaques simulées par les chercheurs de l'ESAT. Pour illustrer le risque potentiel, ils ont chiffré un document avec OpenOffice. En théorie, impossible d'infecter ce dossier sans en posséder la clé. Problème, la suite bureautique chiffre tout sauf... les macros. «Considérant dans certains cas les macros comme un élément de confiance, elle ne vous avertit pas systématiquement lorsqu'elles sont exécutées. C'est la preuve que le problème de sécurité se situe au niveau conceptuel. Nous n'exploitons pas de failles de sécurité», précise Eric Filiol. Le chercheur ne condamne pas pour autant OpenOffice: « Il ne faut pas jeter le bébé avec l'eau du bain: c'est un produit qui est jeune et il n'a jamais été pensé en terme de sécurité. Jusqu'à présent, la priorité a été de proposer autant de fonctionnalités que Microsoft Office.» Contactés par les représentants européens d'OpenOffice.org, les chercheurs du laboratoire de virologie et de cryptologie vont rencontrer prochainement à Hambourg les développeurs allemands. Les experts français indiqueront les points de sécurité à mettre en place. Ce travail devrait être assez long car les développeurs vont devoir d'abord réfléchir à la sécurité qu'ils souhaitent instaurer et ensuite régler, notamment, des problèmes de compatibilité. (*) Ecole supérieure et d'application des transmissions <end:citation> Accédez au courrier électronique de La Poste : www.laposte.net 3615 LAPOSTENET (0,34 /mn) --------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
