Thomas De Contes a écrit : > il aurait fallu que je dise des le début > que personnellement je connais les rudiments des "comportements > anti-virus", > et que j'ai posé ces questions sur les macros parce que récemment j'ai > eu à expliquer tout ça à d'autres :-) > (et que personnellement je n'utilise pas les macros et je sais pas bien > comment ça marche, j'ai juste besoin de savoir ce qu'il faut pour ne pas > attraper de virus) > > > Le 8 mars 08 à 18:49, Jean-Baptiste Faure a écrit : > >> Le Samedi 8 Mars 2008 18:16, Thomas De Contes a écrit : >>> >>> il parait qu'avec microsoft, les macros peuvent contenir des virus >>> cad que les macros permettent aux programmeurs de macros de faire >>> absolument ce qu'ils veulent, y compris effacer des fichier, par exemple >> >> C'est globalement vrai > > ok > (ça m'étonne pas trop de ms ...) > > >>> est ce que c'est pareil avec open office ? >> En principe oui > > ah bon ??! :-( > bizarre, pour un logiciel libre, réputé plus fiable etc ...
Cà n'a rien à voir avec le fait qu'il s'agisse de LL ou de MS. La dangerosité des macros est liée : 1. Aux fonctionalités offertes par le langage de macros La richesse actuelle de ces langages -- quelle qu'en soit l'origine -- fait qu'il est possible d'écrire des macros dangereuses pour le système (effacement de fichiers, appel de fonctions système...) Sur ce point, l'aspect "fiabilité" dont tu parles n'a rien à voir. Une macro fiable est un bout de programme qui réalise bien ce qu'il est conçu pour réaliser. Tout dépend de la qualité de l'interpréteur intégré à l'outil bureautique. 2. A la (non-)vigilance de l'utilisateur Et ici demeure le point faible des macros de bureautique. Les suites bureautiques sont désormais livrées avec une configuration par défaut "défensive" : on ne peut pas exécuter une macro si l'utilisateur ne l'a pas explicitement accepté. En d'autres termes, si l'utilisateur accepte n'importe quoi provenant de n'importe où, toutes les barrières du monde n'y pourront rien changer et le système se retrouvera dans un état... "bizarre". Bref, en matière de macros, il faut éduquer l'utilisateur et lui apprendre la méfiance et à dire non. Pas facile, je sais. > >> mais pour qu'il existe des virus il faut que quelqu'un les >> écrivent et qu'il y ait un marché. > > c'est pas la question > la question c'est "comment faire pour rester maître de son ordi *en > toutes circonstances* ?" Un seul mot : réfléchir. autrement dit, ne pas abdiquer son sens critique et sa propre réflexion au profit de la machine. > > y en a un paquet qui vont se faire avoir, sur mac et sous linux (quand > ça arrivera, je sais pas si c'est bientôt), parce qu'ils ne s'y > attendront pas et qu'ils n'auront pas pris plus de précautions .... Soyons clairs : quoi que puissent prétendre certains, *tout* système informatique est sujet à virus et à malveillances. Même si des système moins répandus sont protégés par cette confidentialité de fait (avant de l'être par leur mode de développement), il est *indispensable* d'informer et de former les utilisateurs dans ce sens. > >> Pour le moment OOo est "protégé" par >> utilisation moindre que MS-Office. > > mais, les macros ms ne sont pas lisibles par ooo, alors ? Donc les macros MS ne sont pas dangereuses pour OOo. >>> ou est ce que open office limite les possibilités des macros, >>> suffisamment pour qu'on puisse exécuter les macros sans se poser de >>> questions (sur la fiabilité d'un expéditeur qui nous enverrait un >>> document ooo qui contient des macros, par exemple) ? >> Il ne faut *jamais* exécuter un programme sans se poser de question. > > mais là c'est pas un programme, c'est un document ooo > le programme, c'est ooo En matière de macros, le programme c'est la macro et l'interpréteur (celui qui exécute le programme) c'est la suite bureautique (voir plus haut). > >> Si on ne l'a pas écrit soi-même il faut *toujours* se demander si on fait >> confiance à celui qui le fournit. > > les macros (sauf erreur) c'est du code interprété, > donc ooo préempte tout ce qu'il se passe, > et par exemple, si une macro veut effacer un fichier, il peut soit > refuser la "demande" de la macro, soit demander une confirmation à > l'utilisateur, ... Exactement. Et c'est *là* qu'est le point faible : entre la chaise et le clavier. Connais-tu un utilisateur qui cliquera sur Non à la demande "Voulez-vous exécuter la macro ?" lorsqu'il ouvrira un fichier que lui aura adressé qqn qu'il connaît ? Moi j'en connais fort peu. > >>> les nouvelles versions de OOo sont beaucoup plus rigoureuses en >>> ce qui concerne l'autorisation d'exécution des macros. En particulier la >>> configuration par défaut de OOo 2.4 interdit pratiquement l'exécution >>> des >>> macros. Pour les exécuter il faut modifier cette configuration. > > > ah c'est deja pas mal :-) > (où ça en est exactement, pour la version actuelle ?) Comme pour les versions précédentes : refus sauf autorisation explicite (voir Outils / Options, Openoffice.org, Sécurité, bouton Sécurité des macros) : seules les macros de provenance certifiée peuvent être exécutées (avec un onglet pour définir les sources certifiées). > mais il y a encore mieux qu'interdire totalement : > c'est la possibilité d'utiliser des macros pas dangereuses tout en > interdisant les macros dangereuses Bien sûr. Mais *qui* décide de la (non-)dangerosité ? > en général, les macros qu'on fait pour automatiser des petits trucs "vit > fait", elles ne font des choses qu'à l'intérieur du document dans lequel > elles sont, non ? Oui. Mais, si le poste de l'utilisateur est pollué par une malveillance capable de modifier une macro et d'y insérer du code dangereux ? > > par exemple, si qqn m'envoie un fichier qui contient une macro qui est > mal programmée (pas exprès) et qui efface toutes les données du document, > ben j'ai qu'à fermer le document dans ooo, reprendre mon message pour > rouvrir la pj, et demander cette fois ci à ooo de ne pas exécuter la > macro pour que je puisse consulter les données brutes > > je ne risque rien à exécuter une macro, même si elle n'est pas contrôlée > à chaque opération, si elle est encadrée :-) > vous voyez ce que je veux dire ? Bien sûr : l'encadrement, c'est *toi*. >> Et bien entendu il faut *toujours* disposer >> d'un moyen de secours pour récupérer ses données en cas d'accident. > > oui, en cas de pb dû au système, au matériel, ... > ou simplement en cas d'erreur de l'utilisateur, ça peut tjr arriver La *première* pierre de la sécurité c'est la *SAUVEGARDE* Tout utilisateur devrait le savoir. Et le pratiquer. Mais, en général, on apprend par la douleur. La *deuxième* pierre de la sécurité c'est la sauvegarde. Aussi. Devine ce qu'est la troisième ;-) > >> En particulier il faut être spécialement vigilant quand on ouvre un >> document >> qui se trouve contenir une macro alors que l'auteur ou le fournisseur >> du dit >> document n'a pas prévenu de son existence. > > il peut avoir oublié Oui, mais au message "Voulez-vous exécuter la macro ?", il ne faut *pas* répondre "oui" ! > > en cas d'exécutable c'est impératif de lui poser la question, > mais pour les macros, ça serait bien que ooo soit capable de nous dire > si elle est dangereuse ou pas, et de l'exécuter si non C'est un point très complexe. L'analyse d'une macro, laquelle peut faire appel à des tas d'autres, elles-mêmes pouvant en appeler d'autres et d'autres encore (dont certaines sont /peut-être/ dangereuses, peut s'avérer compliqué et, au final, donner un faux sentiment de sécurité. -- Jean-Francois Nifenecker, Bordeaux --------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
