OpenOffice « absolument pas sécurisé » ?

Après un an de travaux, des experts du ministère français de la Défense affirment dans un rapport classifié que la suite bureautique libre OpenOffice n’est absolument pas sécurisée, peut-on lire dans un article de Thomas rousseau (ZDNet.fr).
The image “http://fr.openoffice.org/branding/images/logonew.gif” cannot be displayed, because it contains errors.
Les chercheurs sont arrivés à cette conclusion "après avoir développé
un certain nombre de codes malveillants (chevaux de Troie et bombes
logiques) – dont certains autoreproducteurs – afin de répertorier tous
les points faibles du logiciel."

"Nous pouvons affirmer qu’OpenOffice nous apparaît comme plus dangereux que son équivalent commercial édité par Microsoft".

Il semble que les macros soient mises en cause car OpenOffice les considère dans certains cas comme un élément de confiance. "C’est la preuve que le problème de sécurité se situe au niveau conceptuel. Nous n’exploitons pas de failles de sécurité", explique  le lieutenant-colonel Eric Filiol, chef du labo qui mené l’étude.

Après avoir souligné que pour éviter toute fuite et exploitation par des pirates, les codes sources des virus ont fait l’objet d’un rapport classifié qui sera communiqué à tous les organismes d’Etat, l’article estime ensuite que cette découverte constitue une réelle menace car de plus en plus d’administrations publiques se sont équipées en OpenOffice (Direction générale des  Impôts et la Gendarmerie Nationale, sans parler de l’administration fédérale belge qui a annoncé récemment son futur switch).

Devant les commentaires et réactions laissées à la suite de cet papier, le lieutenant-colonel Filiol est venu lui-même apporter quelques précisions:

Cette étude a porté sur la version 2.0.2 (tous OS) indépendamment de toute vulnérabilité. Le but était de déterminer les faiblesses conceptuelles dans le cadre strict des codes malveillants. Le but est de sensibiliser les utilisateurs à un risque potentiel concernant un produit donné, indépendamment de toute autre considération
2.- Le rapport mentionné est public. Seul le vol. 2, contenant les codes viraux développés est non public. Un article scientifique synthétisant l’étude doit prochainement paraitre dans le Journal in Computer Virology.
3.- Ce rapport et les conclusions ne signifient nullement qu’il faille cesser le déploiement de cette suite dans les administrations ou les entreprises. Ils mettent juste en exergue le fait que pour le moment ce produit doit faire l’objet d’une politique de sécurité adaptée.
De fait, nous sommes dans la situation de 1995 quand la suite Office s’est révélée conceptuellement très faible face aux macro-virus.
4.- Nous sommes en contact avec les développeurs d’OpenOffice pour les aider et pour que le produit réponde aux besoins de sécurité. Je pense qu’un des correctifs récents concernant les macros a été inspiré par les premiers contacts. Cela va donc dans le bon sens.

Laissons le temps au temps et pas de décisions hâtives.

Technorati Tags: , , ,

Ce contenu a été publié dans Carnet de Bord, avec comme mot(s)-clé(s) , , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire