Sécurité d'OpenDocument et Open XML (OpenOffice et MS Office 2007)Philippe Lagadec

OpenDocument et Open XML sont deux nouveaux formats de fichiers pour les documents bureautiques. OpenDocument est le format normalisé par l'ISO en mai 2006, promu par OpenOffice.org et Sun StarOffice, alors qu'Open XML est le nouveau format pour les documents de la suite Microsoft Office 2007, accepté comme standard par l'ECMA fin 2006.

Ces 2 formats s'appuient sur des principes de base similaires: des fichiers XML dans une archive ZIP, avec un schéma ouvert, ce qui contraste avec les anciens formats bureautiques propriétaires (Word, Excel, Powerpoint, ...). Cependant, contrairement aux idées reçues et malgré leur caractère "ouvert", ces formats peuvent poser de nombreux problèmes de sécurité, proches de ceux déjà connus pour les documents MS Office actuels: il est notamment possible d'y camoufler des contenus malveillants (chevaux de Troie, virus, …) grâce à certaines fonctionnalités "actives" comme les macros, les scripts ou les objets OLE. A cela s'ajoutent les possibilités de camouflage supplémentaires dues à XML et ZIP.

Cette présentation montrera ces problèmes de sécurité avec des détails techniques, et décrira comment concevoir un filtre pour assainir les documents grâce à leur format ouvert.