OOXML est la norme selon les spécifications de laquelle tous les documents Office, en particulier les fichiers Word particulièrement concernés, sont enregistrés. Des chercheurs en sécurité de l'Université de la Ruhr à Bochum et de l'Université des sciences appliquées de Mayence ont examiné de plus près dans quelle mesure l'option de protection de ces documents avec des signatures numériques est mise en œuvre. Son jugement n'était pas exactement flatteur. "L'objectif d'une signature numérique est de confirmer l'intégrité d'un document", a expliqué Simon Rohlmann de l'Université des sciences appliquées de Mayence. Pour ce faire, le créateur du document utilise une clé privée pour créer une signature basée sur des algorithmes à clé publique, qui peut être vérifiée par un lecteur utilisant une clé publique. Si quelqu'un a trafiqué le document, la somme de contrôle cryptographique ne correspondra plus et vous saurez que les informations qu'il contient ne sont plus fiables. Cependant, les scientifiques ont découvert une vulnérabilité qui permet de manipuler facilement les documents dans OOXML : "Nous avons reconnu que les documents ne sont que partiellement signés. Cela signifie que de nouveaux contenus peuvent être ajoutés ou que des contenus signés peuvent être masqués sans que personne ne s'en aperçoive." Rohlman. Étant donné que l'intégralité du fichier n'est pas couverte par la signature, la protection est essentiellement sans valeur.
Le potentiel de risque est plus grand que vous ne le pensez à première vue. Par exemple, un attaquant pourrait utiliser des documents signés à des fins d'ingénierie sociale. Entre autres choses, des instructions pouvaient être envoyées aux employés qui contenaient une signature valide d'un superviseur - comme l'ordre de transférer des sommes plus importantes du compte de l'entreprise quelque part ou de remettre certains biens appartenant aux internes de l'entreprise. Lorsque les scientifiques ont découvert les failles de sécurité pour la première fois en 2022, ils en ont immédiatement informé Microsoft et l'autorité de normalisation responsable. Cependant, la société n'a pas immédiatement éliminé le problème, malgré les contacts répétés des chercheurs. Au moins quatre des cinq points d'attaque de la version commerciale de Microsoft Office 2021 ont été éliminés depuis le mois dernier . Dans la dernière version LTSC (au 16 juin 2023), cependant, aucun correctif n'a encore été inséré, a expliqué Rohlmann.
Le potentiel de risque est plus grand que vous ne le pensez à première vue. Par exemple, un attaquant pourrait utiliser des documents signés à des fins d'ingénierie sociale. Entre autres choses, des instructions pouvaient être envoyées aux employés qui contenaient une signature valide d'un superviseur - comme l'ordre de transférer des sommes plus importantes du compte de l'entreprise quelque part ou de remettre certains biens appartenant aux internes de l'entreprise. Lorsque les scientifiques ont découvert les failles de sécurité pour la première fois en 2022, ils en ont immédiatement informé Microsoft et l'autorité de normalisation responsable. Cependant, la société n'a pas immédiatement éliminé le problème, malgré les contacts répétés des chercheurs. Au moins quatre des cinq points d'attaque de la version commerciale de Microsoft Office 2021 ont été éliminés depuis le mois dernier . Dans la dernière version LTSC (au 16 juin 2023), cependant, aucun correctif n'a encore été inséré, a expliqué Rohlmann.
Envoyer une nouvelle à un ami