Acer : une faille ActiveX présente sur le système d'origine

Un PC, c'est un peu comme un grenier. Parfois il y a tellement de choses dedans qu'on ne sait même plus ce qui se trouve dedans.


"Encore une faille" vous est présenté par ActiveX
ActiveX est un composant logiciel crée par Microsoft pour faciliter la communication entre les différents programmes du système.

S'il permet de programmer facilement de nombreux programmes accédants au système, comme un antivirus en ligne par exemple, il également été décrié pour la très grande faiblesse de sa sécurité. C'est par exemple ActiveX qui est utilisé pour l'installation sur votre système de la majorité des spywares, ces logiciels espions qui vont transformer votre PC en une sorte de "zombie", fonctionnant au ralenti, affichant des publicités à n'en plus finir, et faisant fonctionner en arrière-plan des programmes à l'utilité fort douteuse.

C'est pourquoi le seul navigateur qui l'implémente est Internet Explorer, les autres ayant refusé de l'intégrer, au risque de poser des problèmes de compatibilité avec certains sites internet.


Chef, je crois qu'on en a oublié un !
Alors qu'il explorait tranquillement le contenu logiciel de son ordinateur, Tan Chew Keong, c'est son nom, découvrit un contrôle ActiveX répondant au doux nom de LunchApp.Aplunch, et datant de 1998.

Ce contrôle ActiveX, édité par Acer, avait été installé par les logiciels Acer présents sur l'ordinateur à l'installation. Petite surprise, ce contrôle était indiqué comme "sûr pour le scripting" et "sûr pour la lecture des données se trouvant sur l'ordinateur". Parmi ses diverses fonctions, le contrôle possède une méthode (à peu près l'équivalent d'une fonction en langage objet) appelée "Run" prenant pour paramètres "Lecteur", "Nom de fichier" et "Ligne de commande" (drive, filename et cmdline en version originale).

Un petit essai avec un code tout simple, et voilà que Tan Chew Keong réalise que ce contrôle ActiveX permet très simplement d'exécuter depuis une page web n'importe quel programme ou commande sans le consentement de l'utilisateur, et ce, sur toutes les versions d'Internet Explorer jusqu'à la version 6 incluse (IE7 demande systématiquement à l'utilisateur son avis avant d'exécuter un contrôle ActiveX).

Une petite vérification rapide, et voilà que Tan Chew Keong découvre la présence de ce même contrôle ActiveX sur portable de la série Aspire 5600, plutôt récent.


Une faille qui mériterait d'être prise très au sérieux, faute de quoi de nombreux utilisateurs risquent d'être victimes d'attaques, Acer étant tout de même le troisième constructeur mondial de PC portable avec 11,8% de part de marché. En attendant, l'unique solution reste de désactiver le support d'ActiveX ou de changer de navigateur.