Compaq et Microsoft ont aujourd'hui un point en commun: des brèches importantes ont été découvertes dans la sécurité des logiciels de dépannage Internet de Compaq ainsi que dans Office 97. Dans les deux cas, la faille permettrait de contrôler un ordinateur à distance.

Le problème de Compaq réside dans le logiciel de dépannage Internet pré-installé dans la ligne Presario. Ce logiciel, SpawnApp, a été produit afin de permettre aux propriétaires de Presario de recevoir une assistance technique en ligne. Avec l'autorisation du propriétaire, les techniciens de Compaq ont un accès presque complet aux fonctions de l'ordinateur défectueux.

Or il semble que quelques commandes Javascript [lexique] peuvent arriver à reproduire cette autorisation et ainsi permettre à un pirate de prendre le contrôle de l'ordinateur d'une victime. Le plus inquiétant, c'est que la faille avait été découverte une première fois en novembre 1998 et qu'elle n'a toujours pas été corrigée. La ligne Pavilion de Hewlett-Packard a également déjà été victime du même problème. Hewlett-Packard assure que la faille n'existe plus.

Du côté de Microsoft, la faille exploite le moteur de base de données Jet 3.51. Bien que la version 4.0, à l'abri de cette faille, soit disponible depuis quelques temps, c'est la version 3.51 qui était incluse avec Office 97 et qui, par conséquent, est encore installée sur des centaines de milliers d'ordinateurs. En utilisant cette défaillance, il est possible d'avoir accès à des fichiers, de les supprimer ou d'installer un programme malicieux à distance. Pour se prémunir, il suffit de télécharger et d'installer des composantes regroupées sous le nom de Microsoft Data Access Components, version 2.1 ou supérieure, sur le site de Microsoft.

Jean-François Codère

Lors du dernier Defcon, un pirate avait proposé de faire accuser les compagnies produisant des logiciels non-sécuritaires
Un article de Wired sur les trous de Compaq
CNET News.com et ZDNet traitent de ceux de Office 97