Analyse des problèmes de sécurité liés aux nouveaux formats de documents OpenDocument (OpenOffice) et Open XML (MS Office 2007).
Résumé:
OpenDocument et Open XML sont deux nouveaux formats de fichiers pour les documents bureautiques. OpenDocument est le format normalisé par l’ISO en mai 2006, promu par OpenOffice.org et Sun StarOffice, alors qu’Open XML est le nouveau format pour les documents de la suite Microsoft Office 2007, accepté comme standard par l’ECMA fin 2006. Ces 2 formats s’appuient sur des principes de base similaires : des fichiers XML dans une archive ZIP, avec un schéma ouvert, ce qui contraste avec les anciens formats bureautiques propriétaires (Word, Excel, Powerpoint, ...). Cependant, contrairement aux idées reçues et malgré leur caractère "ouvert", ces formats peuvent poser de nombreux problèmes de sécurité, proches de ceux déjà connus pour les documents MS Office actuels : il est notamment possible d’y camoufler des contenus malveillants (chevaux de Troie, virus, …) grâce à certaines fonctionnalités "actives" comme les macros, les scripts ou les objets OLE. A cela s’ajoutent les possibilités de camouflage supplémentaires dues à XML et ZIP. Cette présentation montre ces problèmes de sécurité avec des détails techniques, et décrit comment concevoir un filtre pour assainir les documents grâce à leur format ouvert.
Présentation:
- Présentation lors du symposium SSTIC, le 1er juin 2007: http://actes.sstic.org/SSTIC07/Securite_OpenDocument_OpenXML.
Article:
- Les actes complets du symposium (articles et présentations) sont disponibles ici : http://actes.sstic.org/SSTIC07/Securite_OpenDocument_OpenXML.
- En juillet 2007, un article plus complet sur Open XML et MS Office 2007 a été publié dans le numéro 32 du magazine MISC, qui a consacré un dossier aux technologies Microsoft.
- L'article de SSTIC a aussi été traduit en anglais et publié dans le Journal in Computer Virology en octobre 2007.