Se souvenir des contrôles ActiveX, la plus grande erreur du Web
Introduits en 1996, les contrôles ActiveX d’Internet Explorer étaient une mauvaise idée pour le Web. Ils ont causé de graves problèmes de sécurité et ont contribué à consolider la domination d’Internet Explorer sur Windows, ce qui a conduit à la stagnation du Web avant Firefox.
Sommaire
Quels étaient les contrôles ActiveX?
Les contrôles ActiveX sont un type de programme qui peut être intégré dans d’autres applications. Microsoft les a utilisés à diverses fins – par exemple, vous pouvez incorporer des contrôles ActiveX dans des documents Microsoft Office. Cependant, ici, nous nous concentrons sur ActiveX pour le Web. À partir d’Internet Explorer 3.0 en 1996, Microsoft a permis aux développeurs Web d’incorporer des contrôles ActiveX dans leurs pages Web.
À l’époque, lorsque vous visitiez une page Web, Internet Explorer vous invitait à télécharger et à exécuter tous les contrôles ActiveX spécifiés par la page Web.
Les plug-ins Internet Explorer populaires tels qu’Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime et Windows Media Player ont été implémentés à l’aide de contrôles ActiveX.
La sécurité était un problème dès le départ
Les années 90 étaient une époque différente, ce qui nous a également apporté des macros dangereuses dans les documents Office. À l’origine, les contrôles ActiveX étaient comme n’importe quel autre programme sur votre ordinateur. Lorsque vous avez lancé un contrôle ActiveX, il a un accès complet à tout ce qui se trouve sur votre ordinateur.
En d’autres termes, vous pouvez visiter une page Web dans Internet Explorer et voir une invite indiquant que la page Web souhaite exécuter un jeu ou un autre programme. Si vous étiez d’accord, le contrôle ActiveX serait en mesure de faire tout ce qu’il voulait avec tous les fichiers et programmes de votre ordinateur. Il est facile de voir à quel point c’était idéal pour les logiciels malveillants.
C’était en contraste frappant avec la technologie Java de Sun. À l’époque, Java était également utilisé pour exécuter des programmes sur des pages Web dans des navigateurs Web. Cependant, Java a tenté de limiter ce que ces programmes pouvaient faire grâce à l’utilisation d’un bac à sable. Java dans le navigateur Web avait en fin de compte une longue histoire de failles de sécurité, mais au moins Java essayait de limiter ce que les applications pouvaient faire.
Un article de CNET de 1997 illustre l’attitude de Microsoft à l’époque:
«Bien que le bac à sable Java impose un haut degré de sécurité, il ne permet pas aux utilisateurs de télécharger et d’exécuter des jeux multimédias passionnants ou d’autres programmes complets sur leurs ordinateurs», lit-on sur le site de sécurité de Microsoft. « Par conséquent, les utilisateurs peuvent souhaiter télécharger du code qui dispose d’un accès complet aux ressources de leur ordinateur. »
L’article poursuit en expliquant que Microsoft a inclus un système de «responsabilité» nommé Authenticode. Les développeurs de logiciels pouvaient choisir d’estampiller leurs contrôles ActiveX avec une signature numérique, mais ce n’était pas obligatoire. Les développeurs qui ont créé des contrôles ActiveX malveillants pourraient être repérés plus facilement s’ils choisissaient de signer leurs contrôles.
Avec Microsoft s’appuyant initialement sur le système d’honneur, il est facile de voir comment ActiveX est devenu un moyen populaire de fournir des logiciels malveillants et des logiciels espions aux utilisateurs d’Internet Explorer.
ActiveX a été conçu pour l’ancien Web
Il fut un temps où les technologies Web n’étaient pas très puissantes. Si vous vouliez quelque chose de plus avancé que le texte et les images, même si vous vouliez simplement intégrer une vidéo dans une page Web, vous aviez besoin d’une sorte de plug-in de navigateur.
ActiveX a été conçu pour un monde où vous ne pouvez pas créer des applications complexes et complètes en utilisant HTML, JavaScript et d’autres technologies modernes, comme vous le pouvez aujourd’hui.
De nombreuses organisations se sont tournées vers les contrôles ActiveX pour ajouter des fonctionnalités à leurs sites Web. De nombreuses entreprises ont également utilisé des contrôles ActiveX en interne pour fournir rapidement des programmes à leurs PC professionnels. Lorsque vous accédez à l’une de ces pages Web avec Internet Explorer, il vous invite à télécharger un contrôle ActiveX et vous exécutez le programme.
Sympa et facile – trop facile. Peut-être que cela volerait sur le réseau interne d’une entreprise (intranet) où tout était digne de confiance. Mais sur le Web sauvage, cela a causé beaucoup de problèmes.
ActiveX était un gâchis de sécurité
Conceptuellement, ActiveX avait deux gros problèmes de sécurité. Tout d’abord, un site Web malveillant pouvait vous inviter à installer un contrôle ActiveX malveillant, et il était très facile pour les utilisateurs d’Internet Explorer d’accepter l’invite et de l’installer.
Deuxièmement, un bogue dans un contrôle ActiveX légitime peut être un problème. Si vous aviez installé une version obsolète d’Adobe Flash, par exemple, un site Web malveillant pourrait en profiter et accéder à l’intégralité de votre ordinateur, car les contrôles ActiveX tels que Flash avaient accès à l’intégralité de votre ordinateur.
C’était vraiment un gros problème, car les contrôles ActiveX n’avaient souvent pas de système de mise à jour automatique.
Au fil du temps, Microsoft a continué à resserrer les paramètres de sécurité et à ajouter une protection supplémentaire comme le «Mode protégé» et le «Mode protégé amélioré». Par exemple, Internet Explorer a une liste intégrée de contrôles ActiveX obsolètes qu’il refuse de charger. Internet Explorer fournit des avertissements supplémentaires avant de télécharger et de charger des contrôles ActiveX. D’autres paramètres de sécurité ont été introduits qui permettent aux créateurs de contrôles ActiveX de restreindre les contrôles ActiveX pour qu’ils ne s’exécutent que sur certains sites Web, par exemple.
Exemple: le site Web de Microsoft nécessitait autrefois un contrôle ActiveX Akamai «Download Manager» pour télécharger certains fichiers. Ce gestionnaire de téléchargement nécessitait un accès complet à l’ensemble de votre ordinateur et, bien sûr, il ne fonctionnait que dans Internet Explorer. Sans surprise, ce programme Download Manager avait ses propres vulnérabilités de sécurité. Cela ressemble-t-il vraiment à une bonne solution pour télécharger des fichiers au lieu de simplement compter sur le téléchargeur de fichiers intégré à votre navigateur Web?
Les contrôles ActiveX n’étaient pas multiplateformes
ActiveX était une technologie Microsoft qui fonctionnait le mieux dans Internet Explorer sur Windows. Il y avait des plug-ins qui ajoutaient la prise en charge des navigateurs concurrents, comme Netscape Navigator (l’ancêtre de Mozilla Firefox), mais il s’agissait vraiment d’Internet Explorer.
Techniquement, ActiveX était multiplateforme. Microsoft a ajouté la prise en charge d’ActiveX à Internet Explorer pour Mac. Cependant, contrairement à Java (qui était multiplateforme), les contrôles ActiveX écrits pour Windows ne fonctionneraient pas sur un Mac. Les développeurs devraient créer des contrôles ActiveX pour le Mac.
Par exemple, la Corée du Sud a normalisé un contrôle ActiveX qui était nécessaire pour accéder aux sites Web financiers et gouvernementaux sécurisés dans les années 90. Il n’a été complètement fermé qu’en 2020 et la dépendance à ActiveX a obligé les gens à utiliser cette technologie ancienne et obsolète pendant longtemps. Comme l’a écrit le Washington Post, «la Corée du Sud [was] coincé avec Internet Explorer pour les achats en ligne »en 2013. L’article décrit comment les utilisateurs de Mac ont dû s’appuyer sur des ordinateurs de bureau dans leurs bureaux, des cybercafés, de vieux ordinateurs ou Boot Camp pour effectuer des achats en ligne.
De telles situations se sont déroulées de manière similaire dans d’autres endroits: les entreprises qui se sont standardisées sur ActiveX pour fournir des applications internes ont été bloquées en fonction d’Internet Explorer sous Windows jusqu’à ce qu’elles abandonnent ActiveX.
Comment le Web moderne est meilleur
Du point de vue de la sécurité, le Web moderne est bien meilleur. Lorsque vous chargez une page Web, votre navigateur Web charge et exécute cette page Web dans son propre sandbox isolé. Le navigateur Web ne repose pas sur ActiveX, Java, Flash ou tout autre type de programme tiers qui exécute une partie de la page Web.
Il n’y a aucun moyen pour un site Web de fournir du code qui obtient un accès complet à tout ce qui se trouve sur votre ordinateur, non sans télécharger un fichier EXE qui s’exécute entièrement en dehors du navigateur sous Windows, par exemple.
Votre navigateur Web se met à jour automatiquement, il n’y a donc aucun risque que du code ancien ne reste et reste accessible aux pages Web sans obtenir de correctifs de sécurité, comme c’était le cas avec ActiveX.
Avant d’être complètement éliminé au profit des technologies Web à la fin de 2020, même le contenu Flash était plus sécurisé qu’ActiveX. Google Chrome, par exemple, a exécuté Flash dans un bac à sable. Une applet Flash malveillante devrait utiliser une faille pour échapper au bac à sable dans Adobe Flash lui-même, puis utiliser une autre faille pour échapper au bac à sable du plug-in dans Google Chrome pour obtenir un accès complet à l’ordinateur.
Et bien sûr, le Web moderne est multiplateforme. Vous pouvez utiliser le navigateur de votre choix sur la plate-forme de votre choix. Vous n’êtes pas bloqué en utilisant Internet Explorer sous Windows car les sites Web que vous utilisez nécessitent un contrôle ActiveX qui ne fonctionne que sur Windows dans ce navigateur.
Et bien sûr, la plupart des extensions de navigateur que vous installez ont accès à tout ce que vous faites dans votre navigateur Web, mais au moins elles n’ont pas accès à l’ensemble de votre ordinateur.
Contrôles ActiveX sur Windows 10
À partir de 2021, les contrôles ActiveX sont toujours pris en charge sur les versions modernes de Windows 10. Cependant, vous devez utiliser l’ancien navigateur Internet Explorer 11 — Microsoft Edge ne prend pas en charge les contrôles ActiveX.
Certaines entreprises et autres organisations utilisent encore aujourd’hui les contrôles ActiveX, Microsoft n’a donc pas encore supprimé sa prise en charge.
