OpenOffice et la sécurité

[psilocybe]

Salut à tous,

Je ne vois aucun endroit (ou peut-être n'ai-je pas bien regardé) où vous conseillez d'installer LibreOffice en lieu et place d'OpenOffice pour des raisons de sécurité.

Car je ne vois pas comment vous pouvez évaluer la sécurité d'un logiciel qui utilise lui-même Python version 2, dont la sécurité n'est plus assurée depuis le 1er janvier 2020.

Je pense qu'il serait urgent de mettre une bannière conseillant l'utilisation de LibreOffice au lieu d'OpenOffice pour des raisons de sécurité.

Ne pas le faire pourrait vous rendre responsable d'éventuels problèmes de sécurité dus à l'obsolescence d'OpenOffice.

[Bidouille]

Bonjour,

où vous conseillez d'installer LibreOffice en lieu et place d'OpenOffice pour des raisons de sécurité.

Pouvez-vous donner les n° de rapport du CERTA(*) qui évoqueraient des failles de sécurité dans OpenOffice ?

Car je ne vois pas comment vous pouvez évaluer la sécurité d'un logiciel qui utilise lui-même Python version 2

OpenOffice est majoritairement développé en C++ et contient quelques modules faisant appel à Java.

Ne pas le faire pourrait vous rendre responsable d'éventuels problèmes de sécurité dus à l'obsolescence d'OpenOffice.

On rappelle que ce forum est uniquement composé de bénévoles utilisateurs. Nous ne sommes pas liés à l'équipe de développement.
Si vous avez à faire remonter un problème de sécurité, adressez-vous directement à eux : https://www.openoffice.org/security/



(*) https://cert.ssi.gouv.fr/

[psilocybe]

Pouvez-vous donner les n° de rapport du CERTA(*) qui évoqueraient des failles de sécurité dans OpenOffice ?

En fait ce n'est pas vraiment comme ça que cela doit se passer. Ce n'est pas à moi de trouver des failles de sécurité dans le code d'OpenOffice, d’ailleurs je ne crois pas que cela serait vraiment efficace.

La bonne façon de procéder est de soumettre tout le code produit (C, Java, Python...) à des outils d'évaluation de la sécurité des applications (CASA est un bon exemple). Généralement, cet outil provient d’un tiers, car il est difficile d’être à la fois juge et partie.

LibreOffice semble utiliser Synopsys comme outil pour analyser la sécurité du code.
J'utilise personnellement Dependabot et FuildAttacks pour la sécurité de mes extensions.

Je ne pense pas qu'OpenOffice utilise des outils pour assurer la sécurité de son code (du moins je n'ai pas trouvé de tels résultats) et en tout cas aucun de ces outils ne laisserait passer un noyau Python 2 dans du code source... Et qu'en est il de la sécurité des librairies C utilisées dans le code d'OpenOffice?

On rappelle que ce forum est uniquement composé de bénévoles utilisateurs. Nous ne sommes pas liés à l'équipe de développement.

Vous êtes ici pour prodiguer des conseils aux utilisateurs d'OpenOffice. En matière de sécurité, vos conseils devraient inciter les utilisateurs à migrer vers LibreOffice.

[psilocybe]

Si je scanne le code d'OpenOffice avec un outil comme FluidAttacks, il trouve 323 vulnérabilités dans le code de OpenOffice...

Code : Tout sélectionner

─────────────────────────────────── Running ────────────────────────────────────

[WARNING] Although skims does not collect any sensitive information, if you do not want to send any data to our servers, set the `tracing_opt_out` key to `True` in your configuration file
[INFO] Official documentation: https://help.fluidattacks.com/portal/en/kb/find-security-vulnerabilities/use-the-cli
[INFO] Namespace: openoffice
[WARNING] Unable to find commit HEAD on analyzed directory
[INFO] Startup work dir is: /working-dir
[INFO] Moving work dir to: /working-dir
[INFO] Running SCA analysis on 1610 paths
[INFO] Downloading advisory database
[INFO] SCA analysis completed!
[INFO] Starting SAST analysis
[INFO] Performing basic SAST analysis on 2239 paths
[INFO] Basic SAST analysis completed!
[INFO] Performing advanced SAST analysis on 4047 paths
[INFO] Advanced SAST analysis completed!
[INFO] Analyzing unverifiable and non-upgradable paths
[INFO] SAST analysis completed!
[INFO] Analysis finished, writing results
[INFO] An output file has been written: /working-dir/Fluid-Attacks-Results.csv
[INFO] Summary: 323 vulnerabilities were found in your targets.

Détails des vulnérabilités trouvées:

Fluid-Attacks-Results.csv.zip

[tintin]

Bonjour,

Ce n'est pas à moi de trouver des failles de sécurité dans le code d'OpenOffice.

À nous non plus.

d’ailleurs je ne crois pas que cela serait vraiment efficace.

La bonne façon de procéder...

La bonne façon de procéder est celle que vous a indiquée le modérateur.
Vous pourrez revenir avec leur réponse.

[psilocybe]

La bonne façon de procéder est celle que vous a indiquée le modérateur.

Contacter OpenOffice ne servira à rien (regardez ma demande qui date de plus d'un an est toujours sans réponse... et regardez qui l'a ouverte et à quelle date?).
Par contre ce qui est sûr, c'est qu'en l'absence de publication d'un rapport de sécurité sur le code d'OpenOffice, comme on peut trouver facilement pour LibreOffice, on ne peut qu'admettre que le code d'OpenOffice n'est PAS SÉCURISÉ. Vouloir faire croire le contraire serait tromper volontairement vos utilisateurs.
Maintenant que vous êtes au courant, vous ne pouvez plus dire que vous ne saviez pas.

[BERNES]

OK.
Maintenant, peut-être appartient-il à chacun de faire des recherches, s'il le souhaite.
Cependant, est-il correct, de votre part, de tendre un doigt ostensiblement accusateur en direction de bénévoles qui donnent, énormément parfois, de leur temps pour faire de ce site ce qu'il doit être, et non devenir un gendarme de l'Internet ?
Si vous souhaitez contribuer ici dans le domaine de la sécurité, alors il serait peut-être bon que vous ne vous contentiez pas de vous réfugier derrière des bénévoles, mais au contraire de leur apporter ce qui pourrait être une bonne compétence de votre part, si elle existe ?
Dans cette hypothèse, cela me semblerait très positif puisque contributif. En effet, la critique est aisée, mais l'art ne l'est pas.
Des solutions positives me semblent autrement susceptibles de considération, que des simples critiques négatives et, qui plus est, accusatrices.
Bien cordialement et, sincèrement, sans amertume.
Jean-Louis

[Dolev]

Bonjour,

Maintenant que vous êtes au courant, vous ne pouvez plus dire que vous ne saviez pas.

Polémique inutile et sans intérêt.

[psilocybe]

Si vous souhaitez contribuer ici dans le domaine de la sécurité, alors il serait peut-être bon que vous ne vous contentiez pas de vous réfugier derrière des bénévoles, mais au contraire de leur apporter ce qui pourrait être une bonne compétence de votre part, si elle existe ?

Salut Jean-Louis,

Ce fil est précisément ma contribution. Il vous conseille d’émettre un avertissement concernant la sécurité du code d'OpenOffice en l'absence de tout rapport portant sur celle-ci.
Je suis également un bénévole tout comme vous. Ma participation concerne des extensions LibreOffice pour lesquelles j'ai mis en place des outils assurant la sécurité du code que je produit gratuitement. LibreOffice en a fait de même et est capable de produire des rapports de sécurité concernant son code. D’ailleurs toute certification CASA vous imposera l'utilisation d'outils de sécurisation du code.

A mon avis, ne pas faire de distinction entre LibreOffice et OpenOffice en termes de sécurité est une grave erreur. Et comme je viens de vous l'expliquer, c'est techniquement indéfendable.

[BERNES]

Je dis "soit", bien qu'étant loin d'être un spécialiste en matière de sécurité informatique.
Mais pourquoi votre doigt accusateur ?
Je cesse ici mon écriture concernant ce fil ; pas envie de poursuivre, d'autres que moi seront plus qualifiés pour le faire.
Bonne soirée pour tous.
Jean-Louis

[psilocybe]

Les faites:
Aujourd’hui, tous les logiciels que vous installez sur vos ordinateurs ont une certification CASA, ou ont mis en place l’infrastructure permettant de passer cette certification:

• A chaque ajout, modification du code du logiciel cette certification vous demande de publier un rapport sur la sécurité du code et des librairies utilisées.

• Le nouveau code ne pourra être publié que si le rapport est exempte de toutes alertes de sécurité.

La question qui tue:
Mais comment font ils chez OpenOffice avec leur certification CASA et le noyau Python 2 qui n'est plus certifié depuis 2020?

La réponse:
Bien c'est très simple: il n'ont pas de certification CASA (en tout cas pas de rapport de sécurité).

Traiter LibreOffice et OpenOffice à égalité en terme de sécurité reviendrait à dire que la certification CASA c'est de la m**de.
Je ne suis pas vraiment de cet avis.

[psilocybe]

Nous ne sommes pas liés à l'équipe de développement...

Bien, je n'en suis pas si sûr.
C'est toi Bidouille qui a fermé le problème n°128569.
De toute évidence, tu es capable d'évaluer et de fermer un problème ouvert sur le site d'OpenOffice.
En fait, l'outil de sécurité du code pour OpenOffice n'est pas CASA mais Bidouille...
Il faut arrêter de dire des bêtises...

[Bidouille]

C'est toi Bidouille qui a fermé le problème n°128569.

Oui parce que votre rapport concerne une extension qui ne fait pas partie du cœur du logiciel.
Et je l'ai fermé parce que non reproductible avec pour preuve une copie d'écran.
Et si vous continuez votre troll, je fermerai aussi ce fil.