Word, depuis sa version 6 (Office 95), dispose d'une fonction permettant de lier un fichier à un autre, au moyen d'un champ "{ INCLUDETEXT }". Une fois que ce type de liaison a été créé, l'intégralité du fichier désigné au moyen du champ est importé dans le fichier Word.

L'idée de l'attaque est alors de :

• construire un fichier Word contenant un champ " INCLUDETEXT" pointant sur un fichier précis,
• l'envoyer par e-mail au destinataire auquel on souhaite voler un fichier,
• convaincre le destinataire d'ouvrir le fichier, de provoquer une opération de mise à jour des champs, de sauver le document, puis de le renvoyer à l'expéditeur (ou à un complice).

Au moment où le destinataire provoque la mise à jour des champs, la directive "INCLUDETEXT" est exécutée, et Word insère alors dans le document ouvert le contenu du fichier désigné par ce champ. Il y donc vol d'un document sur le poste de l'utilisateur.

Depuis l'idée initiale, le débat est très animé sur la dangerosité effective de cette fonctionnalité de Word :

• D'un côté, de nombreuses "améliorations" ont été suggérées pour cette attaque : mise à jour automatique des champs, dissimulation des données volées, envoi direct du document vers un serveur Web au moyen d'une directive "INCLUDEPICTURE", etc ...
• De l'autre coté, Microsoft et le CIAC (au moins) ont émis des bulletins d'information tendant à minimiser la faisabilité des attaques.

De notre point de vu, le risque est réel, parce que :

• Il y a certains fichiers utilisateurs pour lesquels on sait à distance deviner le nom et l'emplacement exact (donnée nécessaire à l'attaque). Attaquer la boite à lettre d'un utilisateur (pour voler tous ses e-mails) paraît par exemple tout à fait faisable.
• Un utilisateur, même expérimenté, ne sera pas forcément étonné de voir Word ou Outlook adopter temporairement un comportement bizarre (grande lenteur, défilement écran, etc..). Il n'est donc pas du tout certain qu'il remarquera que quelque chose d'anormal est en train de se passer avec son document.

Par contre il est vrai que l'attaquant prend un grand risque, car si l'on soupçonne quelque chose, il est facile de mettre en évidence sa tentative d'attaque. Il faudra donc qu'il dissimule son identité réelle d'une façon ou d'une autre.

A notre sens des attaques utilisant cette technique restent possibles, et il serait donc souhaitable de pouvoir détecter facilement les documents utilisant les fonctionnalités "INCLUDE" de Word (tout comme on sait aujourd'hui détecter l'utilisation des Macros). L'annonce de Microsoft sur ce sujet indique que l'éditeur proposera dans le futur une solution à ce problème.

En attendant cette solution, il existe un moyen simple, mais peu convivial, de détecter l'attaque :

• Une fois le document ouvert, demandez à Word d'afficher le code des champs (cochez la case "Code des champs" dans l'onglet "Affichage" du menu "Outils/Options")
• Puis recherchez la chaîne de caractères "INCLUDE".

Si vous trouvez des champs "INCUDETEXT" ou "INCLUDEPICTURE", le document est suspect. Il faut noter cependant que tous les documents contenant des champs "INCLUDE" ne sont pas des documents malveillants !

De façon plus générale, si un inconnu vous envoie un document, vous demande de l'ouvrir, puis de lui retourner (par exemple pour remplir un questionnaire) soyez très méfiant …

Pour plus d'information :

• Description de la vulnérabilité :
• http://online.securityfocus.com/bid/5586
• http://online.securityfocus.com/bid/5764
• Information Microsoft :
• http://www.microsoft.com/technet/security/topics/secword.asp
• Information donnée par le CIAC :
• http://www.ciac.org/ciac/techbull/CIACTech02-005.shtml