PP/Transfert

La famille des mouchards du Web compte un prestigieux nouveau membre : le logiciel de traitement de texte Microsoft Word, lui-même. Dans un rapport, la Privacy Foundation, une association américaine pour la défense de la vie privée, vient de révéler l’existence d’un bogue dans le logiciel, permettant de localiser un utilisateur s’il est connecté au Net. La fondation s’est aperçue qu’il était possible d’insérer des "connexions malignes " (web bugs) dans des documents Word (mais également Excel 2000 et Powerpoint 2000).

Serveurs espions

Petite explication : lorsque vous ouvrez une page web, vous demandez à un serveur web de vous afficher le contenu d’un fichier dont il connaît l’emplacement. Pour qu’il vous réponde, vous envoyez à son adresse une requête avec le nom du fichier désiré, le nom de votre navigateur web et votre adresse sur le réseau. Le serveur sait donc toujours qui lui a demandé quoi. Ou plutôt d’où lui a été demandé tel fichier. Les " connexions malignes " sont en fait l’insertion dissimulée d’un lien vers un fichier image qui renvoie vers un serveur " espion ". Á chaque fois que vous ouvrez le fichier, ce dernier tente de récupérer l’image distante et se connecte au serveur espion. Il l’informe ainsi de l’endroit où vous êtes (si vous êtes connecté à Internet). Bien entendu, l’image n’est pas insérée pour des motifs graphiques, mais pour pouvoir localiser celui qui la demande. La plupart du temps, vous ne la verrez d’ailleurs pas puisqu’elle aura une taille d’un pixel sur un pixel.

Word, Excel, PowerPoint... et MP3

Cette faille était jusqu’à présent bien connue des spammeurs. Mais l’intrusion se faisait alors par l’intermédiaire de mails au format HTML. La Privacy Foundation s’est aperçue qu’à partir de la version 97, les fichiers Word intégrant des images venues du Web intègrent en fait un lien URL vers cette image. Chaque ouverture d’un tel fichier provoque par conséquent le rapatriement de l’image, et donc la localisation de l’utilisateur, exactement comme pour les fichiers HTML. Vous pouvez même vérifier à quel point cela est efficace en téléchargeant ce fichier " buggé ". En outre, la Privacy Foundation a rappelé que cette faille pouvait non seulement être exploitée avec les documents Word, Excel 2000, PowerPoint 2000, mais aussi avec les fichiers MP3. On voit bien l’utilisation que pourraient en faire certains excités du copyright... Microsoft a déclaré connaître cette faiblesse. Mais la société n’envisagerait aucune mesure pour le moment puisqu’aucun cas d’exploitation de cette faille n’a été rapporté. La Privacy Foundation recommande l’utilisation de programmes anti-troyens commeZoneAlarm qui évitent les connexions intempestives ou, du moins, vous préviennent quand elles ont lieu.