par solutioninformatique54 - jeu. 7 mars 2013 18:34
- jeu. 7 mars 2013 18:34
#42726
Mot à définir Les contrôles active X
Le/La/Les nom du mot à définir ...
Bonjour à tous,
Après une sérieuse recherche sur Internet, j'ai trouvé un petit texte qui,
selon moi, explique bien clairement ce que sont les ActiveX et le pourquoi de leurs présences. Le texte n'est évidemment pas de moi.
Je l'ai choisi parmi beaucoup d'autres (il y en a tellement) car il est simple et emploie des termes connus de la plupart des internautes sans partir dans des explications spécialisées. Moi-même, j'y ai compris quelque chose... Le texte a été modifié et ajusté selon les besoins ici.
Je le mets ici dans la Sécurité du Forum car c'est approprié au sujet mais il pourra être déplacé selon le bon vouloir de l'Administrateur.
(Veuillez excuser la présentation des 2 photos: Je n'y arriverai donc jamais!!!)
Les contrôles ActiveX, une technologie peu sûre...
La technologie ActiveX est une technologie de Microsoft qui permet de créer simplement des pages Web avec des effets sympa. Pourquoi alors en parler ici dans la section sécurité?
Et bien, c'est parce que cette technologie, puissante certes, ne respecte pas certaines règles élémentaires de sécurité et peut même s'avérer vraiment dangereuse pour votre système. Nous allons, dans cette page, faire le point sur les contrôles ActiveX et sur les risques qu'ils présentent en matière de sécurité informatique.
INTRODUCTION
Sur le site de Microsoft vous pouvez trouver ce petit paragraphe sur les fameux contrôles ActiveX :
" Les contrôles ActiveX, précédemment connus sous le nom de contrôles OLE ou contrôles OCX, sont des composants (ou objets) que vous pouvez insérer dans une page Web ou un autre programme de manière à pouvoir réutiliser une fonctionnalité intégrée programmée par quelqu'un d'autre. Par exemple, les contrôles ActiveX qui sont inclus dans Internet Explorer vous permettent d'enrichir vos pages Web avec des fonctionnalités de mise en page et des animations sophistiquées.
L'un des avantages essentiels des contrôles ActiveX sur les programmes Java et les plug-ins Netscape réside dans le fait que l'on peut les utiliser aussi bien dans des programmes écrits dans de nombreux autres langages, y compris tous les langages de programmation et de bases de données Microsoft. "
Les contrôles ActiveX sont donc un ensemble de routines qui peuvent être utilisées dans potentiellement tout programme tournant sous Windows quel que soit le langage de programmation utilisé. Ces composants sont conçus pour pouvoir interagir entre eux et il est possible d'en produire de très puissants. Bref, rien de bien méchant à première vue, ce serait même plutôt bien, sauf que...
PROBLEMES LIES AUX CONTROLES ACTIVEX
Non respect de la norme W3C
Tout d'abord, la technologie ActiveX est une technologie propriétaire de Microsoft et en principe ne peut à ce titre être interprétée qu'avec le navigateur de Microsoft, Internet Explorer. Elle ne respecte donc en aucun cas la fameuse norme internationale W3C dont le but est d'unifier le codage des pages web afin qu'elles soient interprétées correctement par n'importe quel navigateur (IE, Mozilla, Opera...). Les webmasters souhaitant que leurs pages soient lisibles par le plus grand nombre n'ont donc surtout pas intérêt à utiliser des contrôles ActiveX pour écrire leurs pages. Là encore, rien de dangereux, juste du gênant...
RISQUES DE SÉCURITÉ
Les risques liés aux ActiveX viennent d'une surenchère de Microsoft pour concurrencer le succès de Javascript de Sun.
Javascript est un langage de script permettant d'améliorer le HTML, pour créer par exemple des effets et outils intéressants et pratiques (formulaires, système de vote en ligne...) sur une page web. Ces scripts s'exécutent sur la machine locale (donc la vôtre) et non depuis le serveur, ils sont ainsi beaucoup plus rapides à s'exécuter, ce qui est bien plus confortable pour l'internaute. Pour des raisons de sécurité évidentes, Sun a décidé de ne pas permettre à Javascript d'écrire sur le disque dur de l'utilisateur, du coup les possibilités restent tout de même restreintes.
Afin de faire mieux que son concurrent, Microsoft n'a pas hésité à franchir le pas et ainsi, les contrôles ActiveX ont accès à tous les fichiers de votre PC auxquels vous-même avez accès, c'est-à-dire, dans la plupart des cas, pratiquement tous !
Pour peu que vous ayez visité une seule fois une page contenant un ActiveX, celui-ci est installé de façon permanente sur votre machine, qui plus est, à votre insu si vous n'avez pas paramétré Internet Explorer comme il faut... on imagine ce que cela peut donner si ce contrôle a été conçu dans un but malveillant! Une véritable aubaine pour les créateurs de parasites tels que des chevaux de Troie et autres dialers donc.
ActiveX CERTIFIÉS OU NON
Afin d'introduire un minimum de sécurité dans tout ça, Microsoft a instauré un système de certification pour les ActiveX. La procédure pour être certifié est assez longue et coûteuse.
Bref, certains ActiveX sont certifiés, d'autres non. Ceux qui sont certifiés sont censés être sûrs. On peut cependant bien imaginer qu'un certificat puisse être contourné ou falsifié afin d'abuser de la confiance de l'internaute et de lui faire installer un programme malveillant sur sa machine.
COMMENT SE PROTEGER ?
La présence de contrôles ActiveX sur certains sites peut donc présenter un certain risque lorsque vous naviguez sur le Web. Heureusement avec un minimum de paramétrage, de bon sens et quelques petits logiciels bien choisis, les risques liés aux ActiveX seront grandement réduits.
PARAMÉTRER INTERNET EXPLORER
Il est possible de paramétrer Internet Explorer pour qu'il refuse les ActiveX non certifiés et qu'il vous demande systématiquement l'autorisation avant d'installer un contrôle ActiveX sur votre machine.
Pour cela, dans le menu "Outils" de Internet Explorer, sélectionnez "Options internet". Ensuite, dans l'onglet "Sécurité", cliquez sur "Personnaliser le niveau...".
Dans la fenêtre "Paramètres de sécurité" qui s'affiche alors, modifiez les paramètres comme sur les images suivantes.
Cliquez enfin sur "OK".
Si vous le souhaitez, vous pouvez aussi bien sélectionner dans la liste déroulante le niveau de sécurité "Elevé". Les règles seront alors plus sévères.
TRIER LES ActiveX SUR LE VOLET
Une fois Internet Explorer paramétré, à chaque fois que vous visiterez une page contenant un ActiveX, une fenêtre Windows s'ouvrira pour vous demander si vous acceptez l'installation du contrôle ActiveX. Cette fenêtre vous indique si ce contrôle est certifié ou non. Si le contrôle n'est pas certifié un gros triangle jaune avec un point d'exclamation apparaît sur la fenêtre. Refusez systématiquement ces ActiveX non certifiés, ils sont potentiellement dangereux. N'acceptez les ActiveX certifiés que s’ils viennent de sites de confiance.
VACCINER SON PC
Différents logiciels permettent de prémunir sa machine contre bon nombre d'ActiveX reconnus malveillants. Nous vous en recommandons deux gratuits et particulièrement performants : SpywareBlaster et Spybot Search Destroy.
SpywareBlaster est un outil purement préventif qui empêche l'installation de contrôles ActiveX hostiles et de cookies à spywares. Une fois la vaccination faite, ce logiciel n'a pas besoin de tourner davantage, une mise à jour régulière de la liste des produits dangereux est suffisante.
Spybot Search Destroy possède un outil de vaccination contre les ActiveX illicites reposant sur le même principe que SpywareBlaster. Le nombre de produits dangereux bloqués est nettement inférieur à celui de SpywareBlaster, d'ailleurs Spybot détecte la présence deSpywareBlaster sur votre machine et vous le recommande s'il ne le trouve pas! Spybot Search Destroy comporte cependant bien d'autres outils antispyware et antitrojan, ce qui fait de ce logiciel un must à avoir absolument sur son PC.
CHANGER DE NAVIGATEUR
Il existe enfin une méthode radicale pour ne plus craindre les ActiveX malveillants : changer de navigateur web. En effet, les ActiveX étant conçus pour ne fonctionner qu'avec les logiciels Windows (technologie propriétaire oblique), il vous suffit d'utiliser un autre navigateur qu'Internet Explorer pour surfer sur le Web. Les pages contenant des ActiveX ne s'afficheront plus bien, mais si le Webmaster est si peu soucieux de la lisibilité de son site sur tous les navigateurs, c'est sans doute qu'il peut se passer de votre visite.
Nous vous recommandons vivement cette solution, non seulement à cause des problèmes liés aux ActiveX mais aussi parce que Internet Explorer est sans doute actuellement le navigateur le moins sécurisé. Vous gagneriez beaucoup à passer à Firefox (voire à toute la suite Mozilla) qui est actuellement un must en matière de navigation (et gratuit !) ou Opera, un très bon navigateur gratuit avec une bannière publicitaire (il existe une version payante sans publicité).
A noter tout de même que certains navigateurs comme Mozilla possèdent des plugin qui permettent de lire les ActiveX. Nous vous recommandons de ne pas les installer. Si certains antivirus en ligne nécessitent l'installation d'ActiveX (pas d'inquiétude, ceux-ci sont sûrs!)
Il vous suffit d'utiliser exceptionnellement Internet Explorer pour cette tâche uniquement.
Source : Texte de Alain C. , journaliste, 2005
Très cordialement
P.S. Je suggère d'activer les ActivexX et les Plugs In sûrs.
Texte copié de : http://aide-micro-hourrrah.forumactif.c ... t-pourquoi
Le/La/Les nom du mot à définir ...
Bonjour à tous,
Après une sérieuse recherche sur Internet, j'ai trouvé un petit texte qui,
selon moi, explique bien clairement ce que sont les ActiveX et le pourquoi de leurs présences. Le texte n'est évidemment pas de moi.
Je l'ai choisi parmi beaucoup d'autres (il y en a tellement) car il est simple et emploie des termes connus de la plupart des internautes sans partir dans des explications spécialisées. Moi-même, j'y ai compris quelque chose... Le texte a été modifié et ajusté selon les besoins ici.
Je le mets ici dans la Sécurité du Forum car c'est approprié au sujet mais il pourra être déplacé selon le bon vouloir de l'Administrateur.
(Veuillez excuser la présentation des 2 photos: Je n'y arriverai donc jamais!!!)
Les contrôles ActiveX, une technologie peu sûre...
La technologie ActiveX est une technologie de Microsoft qui permet de créer simplement des pages Web avec des effets sympa. Pourquoi alors en parler ici dans la section sécurité?
Et bien, c'est parce que cette technologie, puissante certes, ne respecte pas certaines règles élémentaires de sécurité et peut même s'avérer vraiment dangereuse pour votre système. Nous allons, dans cette page, faire le point sur les contrôles ActiveX et sur les risques qu'ils présentent en matière de sécurité informatique.
INTRODUCTION
Sur le site de Microsoft vous pouvez trouver ce petit paragraphe sur les fameux contrôles ActiveX :
" Les contrôles ActiveX, précédemment connus sous le nom de contrôles OLE ou contrôles OCX, sont des composants (ou objets) que vous pouvez insérer dans une page Web ou un autre programme de manière à pouvoir réutiliser une fonctionnalité intégrée programmée par quelqu'un d'autre. Par exemple, les contrôles ActiveX qui sont inclus dans Internet Explorer vous permettent d'enrichir vos pages Web avec des fonctionnalités de mise en page et des animations sophistiquées.
L'un des avantages essentiels des contrôles ActiveX sur les programmes Java et les plug-ins Netscape réside dans le fait que l'on peut les utiliser aussi bien dans des programmes écrits dans de nombreux autres langages, y compris tous les langages de programmation et de bases de données Microsoft. "
Les contrôles ActiveX sont donc un ensemble de routines qui peuvent être utilisées dans potentiellement tout programme tournant sous Windows quel que soit le langage de programmation utilisé. Ces composants sont conçus pour pouvoir interagir entre eux et il est possible d'en produire de très puissants. Bref, rien de bien méchant à première vue, ce serait même plutôt bien, sauf que...
PROBLEMES LIES AUX CONTROLES ACTIVEX
Non respect de la norme W3C
Tout d'abord, la technologie ActiveX est une technologie propriétaire de Microsoft et en principe ne peut à ce titre être interprétée qu'avec le navigateur de Microsoft, Internet Explorer. Elle ne respecte donc en aucun cas la fameuse norme internationale W3C dont le but est d'unifier le codage des pages web afin qu'elles soient interprétées correctement par n'importe quel navigateur (IE, Mozilla, Opera...). Les webmasters souhaitant que leurs pages soient lisibles par le plus grand nombre n'ont donc surtout pas intérêt à utiliser des contrôles ActiveX pour écrire leurs pages. Là encore, rien de dangereux, juste du gênant...
RISQUES DE SÉCURITÉ
Les risques liés aux ActiveX viennent d'une surenchère de Microsoft pour concurrencer le succès de Javascript de Sun.
Javascript est un langage de script permettant d'améliorer le HTML, pour créer par exemple des effets et outils intéressants et pratiques (formulaires, système de vote en ligne...) sur une page web. Ces scripts s'exécutent sur la machine locale (donc la vôtre) et non depuis le serveur, ils sont ainsi beaucoup plus rapides à s'exécuter, ce qui est bien plus confortable pour l'internaute. Pour des raisons de sécurité évidentes, Sun a décidé de ne pas permettre à Javascript d'écrire sur le disque dur de l'utilisateur, du coup les possibilités restent tout de même restreintes.
Afin de faire mieux que son concurrent, Microsoft n'a pas hésité à franchir le pas et ainsi, les contrôles ActiveX ont accès à tous les fichiers de votre PC auxquels vous-même avez accès, c'est-à-dire, dans la plupart des cas, pratiquement tous !
Pour peu que vous ayez visité une seule fois une page contenant un ActiveX, celui-ci est installé de façon permanente sur votre machine, qui plus est, à votre insu si vous n'avez pas paramétré Internet Explorer comme il faut... on imagine ce que cela peut donner si ce contrôle a été conçu dans un but malveillant! Une véritable aubaine pour les créateurs de parasites tels que des chevaux de Troie et autres dialers donc.
ActiveX CERTIFIÉS OU NON
Afin d'introduire un minimum de sécurité dans tout ça, Microsoft a instauré un système de certification pour les ActiveX. La procédure pour être certifié est assez longue et coûteuse.
Bref, certains ActiveX sont certifiés, d'autres non. Ceux qui sont certifiés sont censés être sûrs. On peut cependant bien imaginer qu'un certificat puisse être contourné ou falsifié afin d'abuser de la confiance de l'internaute et de lui faire installer un programme malveillant sur sa machine.
COMMENT SE PROTEGER ?
La présence de contrôles ActiveX sur certains sites peut donc présenter un certain risque lorsque vous naviguez sur le Web. Heureusement avec un minimum de paramétrage, de bon sens et quelques petits logiciels bien choisis, les risques liés aux ActiveX seront grandement réduits.
PARAMÉTRER INTERNET EXPLORER
Il est possible de paramétrer Internet Explorer pour qu'il refuse les ActiveX non certifiés et qu'il vous demande systématiquement l'autorisation avant d'installer un contrôle ActiveX sur votre machine.
Pour cela, dans le menu "Outils" de Internet Explorer, sélectionnez "Options internet". Ensuite, dans l'onglet "Sécurité", cliquez sur "Personnaliser le niveau...".
Dans la fenêtre "Paramètres de sécurité" qui s'affiche alors, modifiez les paramètres comme sur les images suivantes.
Cliquez enfin sur "OK".
Si vous le souhaitez, vous pouvez aussi bien sélectionner dans la liste déroulante le niveau de sécurité "Elevé". Les règles seront alors plus sévères.
TRIER LES ActiveX SUR LE VOLET
Une fois Internet Explorer paramétré, à chaque fois que vous visiterez une page contenant un ActiveX, une fenêtre Windows s'ouvrira pour vous demander si vous acceptez l'installation du contrôle ActiveX. Cette fenêtre vous indique si ce contrôle est certifié ou non. Si le contrôle n'est pas certifié un gros triangle jaune avec un point d'exclamation apparaît sur la fenêtre. Refusez systématiquement ces ActiveX non certifiés, ils sont potentiellement dangereux. N'acceptez les ActiveX certifiés que s’ils viennent de sites de confiance.
VACCINER SON PC
Différents logiciels permettent de prémunir sa machine contre bon nombre d'ActiveX reconnus malveillants. Nous vous en recommandons deux gratuits et particulièrement performants : SpywareBlaster et Spybot Search Destroy.
SpywareBlaster est un outil purement préventif qui empêche l'installation de contrôles ActiveX hostiles et de cookies à spywares. Une fois la vaccination faite, ce logiciel n'a pas besoin de tourner davantage, une mise à jour régulière de la liste des produits dangereux est suffisante.
Spybot Search Destroy possède un outil de vaccination contre les ActiveX illicites reposant sur le même principe que SpywareBlaster. Le nombre de produits dangereux bloqués est nettement inférieur à celui de SpywareBlaster, d'ailleurs Spybot détecte la présence deSpywareBlaster sur votre machine et vous le recommande s'il ne le trouve pas! Spybot Search Destroy comporte cependant bien d'autres outils antispyware et antitrojan, ce qui fait de ce logiciel un must à avoir absolument sur son PC.
CHANGER DE NAVIGATEUR
Il existe enfin une méthode radicale pour ne plus craindre les ActiveX malveillants : changer de navigateur web. En effet, les ActiveX étant conçus pour ne fonctionner qu'avec les logiciels Windows (technologie propriétaire oblique), il vous suffit d'utiliser un autre navigateur qu'Internet Explorer pour surfer sur le Web. Les pages contenant des ActiveX ne s'afficheront plus bien, mais si le Webmaster est si peu soucieux de la lisibilité de son site sur tous les navigateurs, c'est sans doute qu'il peut se passer de votre visite.
Nous vous recommandons vivement cette solution, non seulement à cause des problèmes liés aux ActiveX mais aussi parce que Internet Explorer est sans doute actuellement le navigateur le moins sécurisé. Vous gagneriez beaucoup à passer à Firefox (voire à toute la suite Mozilla) qui est actuellement un must en matière de navigation (et gratuit !) ou Opera, un très bon navigateur gratuit avec une bannière publicitaire (il existe une version payante sans publicité).
A noter tout de même que certains navigateurs comme Mozilla possèdent des plugin qui permettent de lire les ActiveX. Nous vous recommandons de ne pas les installer. Si certains antivirus en ligne nécessitent l'installation d'ActiveX (pas d'inquiétude, ceux-ci sont sûrs!)
Il vous suffit d'utiliser exceptionnellement Internet Explorer pour cette tâche uniquement.
Source : Texte de Alain C. , journaliste, 2005
Très cordialement
P.S. Je suggère d'activer les ActivexX et les Plugs In sûrs.
Texte copié de : http://aide-micro-hourrrah.forumactif.c ... t-pourquoi