 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 16 novembre 2001
No CERTA-2001-REC-001 |
Affaire suivie par :
CERTA
Objet : Visualisation inexacte de documents
par le logiciel WORD.
Tableau 1: gestion du document
| Référence |
CERTA-2001-REC-001 |
| Titre |
Visualisation inexacte de
documents par le logiciel WORD. |
| Date de la première
version |
16 novembre 2001 |
| Date de la dernière
version |
- |
| Source(s) |
Interne |
| |
|
| Pièce(s) jointe(s) |
Aucune |
| |
|
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Visualisation inexacte de documents.
Documents RTF ou DOC lus sous Microsoft WORD.
Dans le cas de l'utilisation de la signature
électronique intégrée dans Office XP,
cette vulnérabilité n'existe pas. De même,
le logiciel WORDpad ne présente pas ce problème
de visualisation.
D'autres logiciels de visualisation sont par contre
susceptibles de présenter des risques similaires.
Contactez le développeur du logiciel pour le savoir.
- Un utilisateur peut être amené à
transmettre ou signer une information différente de
celle affichée par le logiciel Word.
- Pour un même fichier, un utilisateur peut avoir une
vue d'un document différente de la vue observée
par la personne qui a sauvegardé ou signé ce
document.
WORD possède la faculté d'insérer dans
un document des champs dont la valeur change en fonction du
contexte (date, numéro de page par exemple).
Lors de l'ouverture d'un document au format DOC ou
RTF au format « page » ou « lecture
à l'écran », le logiciel WORD calcule
automatiquement et affiche un certain nombre de ces champs
alors que le document ne prend pas l'état «
modifié ». Le fichier conservera, dans les champs,
les valeurs originalement sauvegardées, dont la
signification peut être totalement différente de
ce qui a été présenté lors de la
visualisation.
Pour les utilisateurs de logiciels de signature
électronique externes à Microsoft Office, le
danger existe si la visualisation du document au format
DOC ou RTF reçu, à transmettre,
ou à signer est effectuée par WORD.
- Visualiser le document avec WordPad quand c'est
possible.
- Utiliser si possible le format le plus simple (à
savoir TXT), notamment pour un document
destiné à la signature
électronique.
-
Le calcul des champs ne s'effectue qu'en mode d'affichage
« page », « lecture à
l'écran » ou au moment de l'impression. Les
documents composés doivent être
sauvegardés en mode « normal ».
Un utilisateur recevant un document signé au
format « page » ou « lecture à
l'écran » doit vérifier l'absence de
champs dynamiques en activant l'affichage des champs par
alt+F9. Il peut aussi vérifier que la
visualisation par un autre logiciel comme WordPad, par
exemple, ne diffère pas de celle obtenue par
WORD.
- Configurer WORD (menu « Outils », rubrique
« Options », onglet « Affichage »,
option « Champs avec trame ») pour toujours
afficher les champs en gris, ce qui permet d'attirer
l'attention et d'effectuer un éventuel contrôle
à l'aide de Wordpad.
-
Verrouiller les champs d'un document avant son
enregistrement final par l'utilisation de la macro
ci-dessous, fournie par Microsoft France :
Sub VerrouillageChamps()
i = 0
For Each myf In ActiveDocument.Fields
If myf.Locked = False Then
i = i + 1
myf.Locked = True
End If
Next
If (i > 0) Then
MsgBox ("Le nombre de champs qui ont été verrouillés est : " & (i))
Else
MsgBox ("Aucun champ à verrouiller dans ce document")
End If
End Sub
-
Vérifier le verrouillage des champs d'un document
reçu par l'utilisation de la macro ci-dessous :
Sub VérificationChamps()
i = 0
j = 0
For Each myf In ActiveDocument.Fields
j = j + 1
If myf.Locked = False Then
i = i + 1
End If
Next
If (j > 0) Then
If (i > 0) Then
MsgBox ("Attention, le nombre de champs non protégés dans ce document est : " & (i) & " sur " & (j))
Else
MsgBox ("Aucun champ non verrouillé dans ce document sur " & (j))
End If
Else
MsgBox ("Aucun champ dans ce document")
End If
End Sub
Attention : Pour des raisons
de protection contre les virus, le CERTA recommande de ne
pas légitimer l'usage de macros dans les documents
de bureautique. La règle reste de désactiver
systématiquement les macros à l'ouverture
d'un document, notamment les exemples automatiques. Si
toutefois on souhaite recourir aux macros décrites
ci-dessus, il convient de prendre les mesures de prudence
suivantes : ouvrir le document sans macro et n'activer ces
deux macros qu'après le lancement du logiciel par le
menu « Outils », rubrique « Macro
», puis « Macros ».
Une demande de modification du logiciel a été
faite à Microsoft.
- 16 novembre 2001
- version initiale.
CERTA
2012-01-04
|
|
)
