Active X : mythes et réalités
Un peu plus de 50 pages (en anglais) pour tout savoir sur les contrôles ActiveX et maîtriser les risques de sécurité. C’est ce qu’ont voulu faire les membres d’un groupe de travail patronné par le CERT.
Un groupe de travail, organisé par le CERT-CC (Computer Emergency Response Team Coordination Center, une organisation financée par le ministère américain de la Défense), vient de publier une sorte de vade-mecum des contrôles Active X de Microsoft. Comme le rappelle le rapport en question, sous ce vocable se cache une forme de logiciel particulière basée sur les objets COM (Component Object Model). Très pratiques, ces bouts de programme peuvent remplir une multitude de fonctions, en local ou au travers de l’Internet, de façon automatisée. Reste que pour les experts du groupe de travail, ces contrôles sont autant un bienfait qu’une calamité. De nombreux problèmes de sécurité ont été décelés depuis leur apparition.
D’où l’intérêt de ce rapport d’experts (que l’on peut télécharger sur le site du CERT) qui fait le tour de la question. Le groupe de travail explique ainsi que certains des problèmes liés à Active X étaient décrits de manière exagérée. Mais le groupe a toutefois conclu, comme le rapportent nos confrères américains de Cnet, que les problèmes de sécurité liés à ActiveX ne pouvaient pas être ignorés. C’est pourquoi le rapport des experts se veut être un véritable guide pour les administrateurs système. « On y trouve un grand nombre de conseils pratiques qui n’avaient jamais été publiés auparavant », explique notamment Richard Smith, le responsable technologie de la Privacy Foundation et membre du groupe de travail. A lire donc avec attention, pour réduire les risques de sécurité liés à l’utilisation d’ActiveX.