S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 16 novembre 2001
N^o CERTA-2001-REC-001

Affaire suivie par :

CERTA

Objet : Visualisation inexacte de documents par le logiciel WORD.

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2001-REC-001

Gestion du document

Tableau 1: gestion du document

Référence	CERTA-2001-REC-001
Titre	Visualisation inexacte de documents par le logiciel WORD.
Date de la première version	16 novembre 2001
Date de la dernière version	-
Source(s)	Interne

Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Visualisation inexacte de documents.

2 Systèmes affectés

Documents RTF ou DOC lus sous Microsoft WORD.

Dans le cas de l'utilisation de la signature électronique intégrée dans Office XP, cette vulnérabilité n'existe pas. De même, le logiciel WORDpad ne présente pas ce problème de visualisation.

D'autres logiciels de visualisation sont par contre susceptibles de présenter des risques similaires. Contactez le développeur du logiciel pour le savoir.

3 Résumé

Un utilisateur peut être amené à transmettre ou signer une information différente de celle affichée par le logiciel Word.
Pour un même fichier, un utilisateur peut avoir une vue d'un document différente de la vue observée par la personne qui a sauvegardé ou signé ce document.

4 Description

WORD possède la faculté d'insérer dans un document des champs dont la valeur change en fonction du contexte (date, numéro de page par exemple).

Lors de l'ouverture d'un document au format DOC ou RTF au format « page » ou « lecture à l'écran », le logiciel WORD calcule automatiquement et affiche un certain nombre de ces champs alors que le document ne prend pas l'état « modifié ». Le fichier conservera, dans les champs, les valeurs originalement sauvegardées, dont la signification peut être totalement différente de ce qui a été présenté lors de la visualisation.

Pour les utilisateurs de logiciels de signature électronique externes à Microsoft Office, le danger existe si la visualisation du document au format DOC ou RTF reçu, à transmettre, ou à signer est effectuée par WORD.

5 Contournement provisoire

Visualiser le document avec WordPad quand c'est possible.
Utiliser si possible le format le plus simple (à savoir TXT), notamment pour un document destiné à la signature électronique.
Le calcul des champs ne s'effectue qu'en mode d'affichage « page », « lecture à l'écran » ou au moment de l'impression. Les documents composés doivent être sauvegardés en mode « normal ».
Un utilisateur recevant un document signé au format « page » ou « lecture à l'écran » doit vérifier l'absence de champs dynamiques en activant l'affichage des champs par alt+F9. Il peut aussi vérifier que la visualisation par un autre logiciel comme WordPad, par exemple, ne diffère pas de celle obtenue par WORD.
Configurer WORD (menu « Outils », rubrique « Options », onglet « Affichage », option « Champs avec trame ») pour toujours afficher les champs en gris, ce qui permet d'attirer l'attention et d'effectuer un éventuel contrôle à l'aide de Wordpad.

Verrouiller les champs d'un document avant son enregistrement final par l'utilisation de la macro ci-dessous, fournie par Microsoft France :

Sub VerrouillageChamps()
    i = 0
    For Each myf In ActiveDocument.Fields
        If myf.Locked = False Then
            i = i + 1
            myf.Locked = True
        End If
    Next
    If (i > 0) Then
        MsgBox ("Le nombre de champs qui ont été verrouillés est : " & (i))
    Else
        MsgBox ("Aucun champ à verrouiller dans ce document")
    End If
End Sub

Vérifier le verrouillage des champs d'un document reçu par l'utilisation de la macro ci-dessous :
```
Sub VérificationChamps()
    i = 0
    j = 0
    For Each myf In ActiveDocument.Fields
        j = j + 1
        If myf.Locked = False Then
            i = i + 1
        End If
    Next
    If (j > 0) Then
        If (i > 0) Then
            MsgBox ("Attention, le nombre de champs non protégés dans ce document est : " & (i) & " sur " & (j))
        Else
            MsgBox ("Aucun champ non verrouillé dans ce document sur " & (j))
        End If
    Else
        MsgBox ("Aucun champ dans ce document")
    End If
End Sub
```
Attention : Pour des raisons de protection contre les virus, le CERTA recommande de ne pas légitimer l'usage de macros dans les documents de bureautique. La règle reste de désactiver systématiquement les macros à l'ouverture d'un document, notamment les exemples automatiques. Si toutefois on souhaite recourir aux macros décrites ci-dessus, il convient de prendre les mesures de prudence suivantes : ouvrir le document sans macro et n'activer ces deux macros qu'après le lancement du logiciel par le menu « Outils », rubrique « Macro », puis « Macros ».

6 Solution

Une demande de modification du logiciel a été faite à Microsoft.

7 Documentation

Q211629 WD2000: Which Fields Are Updated When Document Repaginated :
```
http://support.microsoft.com/support/kb/articles/Q211/6/29.ASP
```

Q198544 WD2000: Cannot Undo Automatic Field Updates :

http://support.microsoft.com/support/kb/articles/Q198/5/44.ASP

Q212356 WD2000: How to Update Fields in a Protected Form

http://support.microsoft.com/support/kb/articles/Q212/3/56.ASP

Q212054 WD2000: Some Fields Are Updated While Other Fields Are Not
```
http://support.microsoft.com/support/kb/articles/Q212/0/54.ASP
```
Q211506 WD2000: Fields Inserted in AutoText Entry Updated Automatically
```
http://support.microsoft.com/support/kb/articles/Q211/5/06.ASP
```

Gestion détaillée du document

16 novembre 2001: version initiale.

CERTA
2012-01-04