Microsoft prend de nouvelles mesures pour protéger Office

Microsoft a présenté une nouvelle série de fonctions de sécurité permettant de verrouiller les applications Word et Excel. L’éditeur espère ainsi mettre fin aux attaques permanentes d’auteurs de malware et de pirates distants dont font l’objet les applications Office.

Josh Edwards, responsable technique de produit pour Microsoft Office, a expliqué au cours d’une entrevue avec vnunet.com que Microsoft avait totalement restructuré son approche de sécurité dans la dernière version d’Office.

Cette nouvelle approche a été adoptée il y a trois ans, lorsque l’éditeur a réellement pris conscience qu’il fallait placer la sécurité au sommet de ses priorités.

« L’idée était de trouver un moyen d’intégrer la sécurité de telle manière qu’elle ne soit pas présentée comme une simple fonctionnalité, mais plutôt comme une philosophie », commente Josh Edwards.

Pour placer la sécurité au centre de ses priorités, Microsoft a pris un certain nombre de mesures pour garantir que la quête de la sécurité soit intégrée dans le processus de développement d’Office.

Microsoft a invité les chercheurs externes à détecter les points faibles et a demandé à ses chefs de projet de se mettre à niveau dans le domaine de la sécurité, a indiqué Josh Edwards.

Ce regain d’intérêt pour la sécurité d’Office intervient à point nommé. Les pirates de plus en plus expérimentés ont largement abandonné l’exploitation des vulnérabilités Windows au profit des applications comme Excel ou Office.

« Chaque type de fichier, chaque application utilisés à grande échelle, est actuellement confronté à la même situation », a déclaré Josh Edwards. « Office, en tant qu’application couramment utilisée, a fait l’objet d’une attention particulière, et a encouragé une grande partie des mesures que nous prenons acuellement en matière de sécurité. »

L’une de ces mesures concerne l’adoption du format de document OpenXML. Le nouveau format stocke les différentes parties du document séparément, en maintenant les informations relatives au document et à la mise en page séparées des données réelles.

Microsoft espère que OpenXML permettra aux logiciels de sécurité d’isoler plus facilement les destinations potentielles des codes malveillants et de supprimer les exploits dissimulés à l’intérieur des documents.

Mais certains experts en sécurité pensent que OpenXML pourrait avoir exactement l’effet inverse. Vincent Weafer, directeur du Symantec Security Response, a expliqué à Vnunet.com que l’analyse des fichiers OpenXML pouvait s’avérer trop difficile et trop longue pour qu’elle soit jugée pratique pour la plupart des utilisateurs.

« Il est possible d’intégrer des objets dans de multiples emplacements, ce qui rend l’analyse des fichiers extrêmement difficile », estime Vincent Weafer.« Si le coût de l’analyse est trop élevé, cela risque de ne pas fonctionner. »

Vincent Weafer a également exprimé des réserves quant à l’efficacité d’une autre fonction de sécurité d’Office 2007 : la protection des macros.

Microsoft a entrepris de vastes mesures pour protéger Office contre les attaques par le biais des macros. Il a créé un format séparé pour les documents Word qui contient des macros permettant aux utilisateurs de savoir immédiatement si un document Word contient ou non du code dangereux.

L’éditeur a également désactivé la fonction permettant d’exécuter des macros par défaut en remplaçant la fenêtre de dialogue ?do you feel lucky?? par une petite barre informant l’utilisateur qu’une macro a été désactivée et lui offrant le choix d’exécuter ou non la macro.

Selon Vincent Weafer de Symantec, toutes ces mesures prises pour stopper les macros risquent d’être peu utiles face aux menaces de sécurité actuelles et futures, rappelant que les attaques macro courantes sont populaires depuis des années.

L’expert de Symantec a tout de même félicité Microsoft pour le travail réalisé en matière d’amélioration de la sécurité d’Office, et plus particulièrement pour l’excellent travail de nettoyage du code source et pour le renforcement de la sécurité d’Office au niveau du développement.

Selon Vincent Weafer, le plus grand problème de sécurité qui se pose pour Office tient simplement de la taille et de l’ubiquité du logiciel. Office est un logiciel si répandu qu’il a toujours été une cible de choix pour les auteurs de malware et les pirates.

« Il s’agit de groupes très professionnels, qui font d’énormes efforts de recherche »,a-t-il expliqué. « En règle générale, il ne se passe pas un jour sans qu’il y ait une vulnérabilité. »