Ce document est obsolète et ne sera pas mis à jour. Veuillez vous référer aux documentations techniques disponibles sur le site de l’ANSSI : https://www.ssi.gouv.fr/

1 Risque

  • Visualisation inexacte de documents.

2 Systèmes affectés

Documents RTF ou DOC lus sous Microsoft WORD.

Dans le cas de l’utilisation de la signature électronique intégrée dans Office XP, cette vulnérabilité n’existe pas. De même, le logiciel WORDpad ne présente pas ce problème de visualisation.

D’autres logiciels de visualisation sont par contre susceptibles de présenter des risques similaires. Contactez le développeur du logiciel pour le savoir.

3 Résumé

  • Un utilisateur peut être amené à transmettre ou signer une information différente de celle affichée par le logiciel Word.
  • Pour un même fichier, un utilisateur peut avoir une vue d’un document différente de la vue observée par la personne qui a sauvegardé ou signé ce document.

4 Description

WORD possède la faculté d’insérer dans un document des champs dont la valeur change en fonction du contexte (date, numéro de page par exemple).

Lors de l’ouverture d’un document au format DOC ou RTF au format « page » ou « lecture à l’écran », le logiciel WORD calcule automatiquement et affiche un certain nombre de ces champs alors que le document ne prend pas l’état « modifié ». Le fichier conservera, dans les champs, les valeurs originalement sauvegardées, dont la signification peut être totalement différente de ce qui a été présenté lors de la visualisation.

Pour les utilisateurs de logiciels de signature électronique externes à Microsoft Office, le danger existe si la visualisation du document au format DOC ou RTF reçu, à transmettre, ou à signer est effectuée par WORD.

5 Contournement provisoire

  1. Visualiser le document avec WordPad quand c’est possible.
  2. Utiliser si possible le format le plus simple (à savoir TXT), notamment pour un document destiné à la signature électronique.
  3. Le calcul des champs ne s’effectue qu’en mode d’affichage « page », « lecture à l’écran » ou au moment de l’impression. Les documents composés doivent être sauvegardés en mode « normal ».

    Un utilisateur recevant un document signé au format « page » ou « lecture à l’écran » doit vérifier l’absence de champs dynamiques en activant l’affichage des champs par alt+F9. Il peut aussi vérifier que la visualisation par un autre logiciel comme WordPad, par exemple, ne diffère pas de celle obtenue par WORD.

  4. Configurer WORD (menu « Outils », rubrique « Options », onglet « Affichage », option « Champs avec trame ») pour toujours afficher les champs en gris, ce qui permet d’attirer l’attention et d’effectuer un éventuel contrôle à l’aide de Wordpad.
  5. Verrouiller les champs d’un document avant son enregistrement final par l’utilisation de la macro ci-dessous, fournie par Microsoft France :
    Sub VerrouillageChamps()
        i = 0
        For Each myf In ActiveDocument.Fields
            If myf.Locked = False Then
                i = i + 1
                myf.Locked = True
            End If
        Next
        If (i > 0) Then
            MsgBox (« Le nombre de champs qui ont �t� verrouill�s est :  » & (i))
        Else
            MsgBox (« Aucun champ � verrouiller dans ce document »)
        End If
    End Sub
    
  6. Vérifier le verrouillage des champs d’un document reçu par l’utilisation de la macro ci-dessous :
    Sub V�rificationChamps()
        i = 0
        j = 0
        For Each myf In ActiveDocument.Fields
            j = j + 1
            If myf.Locked = False Then
                i = i + 1
            End If
        Next
        If (j > 0) Then
            If (i > 0) Then
                MsgBox (« Attention, le nombre de champs non prot�g�s dans ce document est :  » & (i) &  » sur  » & (j))
            Else
                MsgBox (« Aucun champ non verrouill� dans ce document sur  » & (j))
            End If
        Else
            MsgBox (« Aucun champ dans ce document »)
        End If
    End Sub
    

    Attention : Pour des raisons de protection contre les virus, le CERTA recommande de ne pas légitimer l’usage de macros dans les documents de bureautique. La règle reste de désactiver systématiquement les macros à l’ouverture d’un document, notamment les exemples automatiques. Si toutefois on souhaite recourir aux macros décrites ci-dessus, il convient de prendre les mesures de prudence suivantes : ouvrir le document sans macro et n’activer ces deux macros qu’après le lancement du logiciel par le menu « Outils », rubrique « Macro », puis « Macros ».

6 Solution

Une demande de modification du logiciel a été faite à Microsoft.

7 Documentation