PEBKAC #9870

Encore dans ma mission d'administration d'une solution antispam, notre équipe reçoit une demande à propos de « fichiers bloqués ». Il s'agit des fichiers Microsoft Office (.XSLX / .DOCX / .PPTX / etc.).

Cependant aucune de ces extensions n'est bloquée, contrairement aux « traditionnels » .EXE, .BIN, .XML, .WMF… C'est donc en investiguant sur ces fichiers bloqués, alors qu'ils ne le devraient pas, que nous avons découvert une grande différence entre ces « nouveaux » formats et leurs prédécesseurs : les plus récents sont en réalité des « conteneurs », au même titre que les archives RAR ou ZIP.

Notre solution va donc inspecter le conteneur en profondeur, y trouve les .XML et éventuels .WMF (si une image est insérée dans le fichier), et bloque ainsi le fichier.

Qu'il bloque une « menace potentielle », je veux bien. Mais qu'il ne précise rien sur la raison du blocage dans les logs, voilà qui facilite grandement la résolution du problème… PEBKAC.

PEBKAC #9870 proposé par Fox le 11/07/2014 | 20 commentaires | 👍🏽 👎🏽 -76

Bloquer les WMF, je ne vois pas l'intérêt. Surtout qu'ils peuvent se retrouver dans des fichiers DOC classiques. Et que le vecteur d'infection et relativement faible avec les WMF. Autant bloquer les JPEG, ou les HTML...
Ça serait pas mieux de mettre un anti-virus léger, du style Clam ?

Commentaire #142464 écrit par ILP le 11/07/2014 à 08h43 | 👍🏽 👎🏽

Que veux-tu... un ordi ne fait que ce qu'on lui demande de faire, rien de plus... on lui demande d'ouvrir des archives pour vérifier d'éventuels pièges. Il le fait sans se poser de question. D'autant plus que des virus à ce stade pourraient bien exister, j'avoue ne plus me tenir au courant de" ça depuis que je suis tout sous solution pinguineé.

C'est vrai qu'un petit message d'explication ne serait pas de refus à ce niveau.

Commentaire #142467 écrit par Aaargh!!! le 11/07/2014 à 09h03 | 👍🏽 👎🏽 +1

arrête de poster des PEBKAC si t'as rien à y dire

Commentaire #142474 écrit par yomama le 11/07/2014 à 09h54 | 👍🏽 👎🏽

de mémoire, dans les logs t'as la raison.l'antispam timeout et du coup bloque la pièce jointe

Commentaire #142476 écrit par root le 11/07/2014 à 10h00 | 👍🏽 👎🏽

Hum, on m'explique pourquoi ça bloque aussi les xml ?
Quel danger y a-t-il ?

Commentaire #142479 écrit par mini le 11/07/2014 à 10h04 | 👍🏽 👎🏽

ça me revient.
une fois decompressé, un simple .xslx d'à peine qq Mo atteint 100mo.
et l'antispam te crache un maximum size limit. ou un truc approchant

Commentaire #142484 écrit par root le 11/07/2014 à 10h50 | 👍🏽 👎🏽 +1

« .XSLX, .DOCX, .PPTX, on dirait d'innocents acronymes d'entreprises postières ; la réalité, est tout autre.

Les reporters d'Enquête Interdite lèvent le voile sur les réseaux des Nouveaux Formats, leurs dangers, leurs méthodes. Comment sont-ils apparus ? Comment leur existence menacent-elle nos enfants ? Comment font-ils pour agir dans l'ombre, afin de contourner les protections traditionnelles ? Comment les forces de sécurité antispams s'adaptent-elles pour lutter contre ces menaces, d'un nouveau genre ? Enquête Interdite répond à ces questions.

Enquête Interdite sur les Nouveaux Formats, c'est demain soir, sur W6. »

Commentaire #142486 écrit par Gné? le 11/07/2014 à 11h14 | 👍🏽 👎🏽 +1

Craquage de slip?

Commentaire #142487 écrit par kurios le 11/07/2014 à 11h44 | 👍🏽 👎🏽

CTLP, c'est de notoriété publique que les nouveaux formats sont des zip.

Commentaire #142490 écrit par Matthieu le 11/07/2014 à 11h59 | 👍🏽 👎🏽 -1

Uniquement en deuxième partie de soirée, petit fripon. C'est pas parce qu'on veut faire de l'audience qu'on ne doit pas protéger nos enfants (même si on ne se prive pas de montrer des émissions de télé-réalité à fort contenu sexuel à la sortie des écoles sur Virgin12).

Commentaire #142495 écrit par Gné? le 11/07/2014 à 12h19 | 👍🏽 👎🏽

Vous ennuiriez-vous Fox?

Commentaire #142508 écrit par H. Finch le 11/07/2014 à 12h52 | 👍🏽 👎🏽

T'imites vachement bien la voix du présentateur dis-donc ! O_O

Commentaire #142512 écrit par Youplà le 11/07/2014 à 12h58 | 👍🏽 👎🏽

Eh oui Fred, c'est grâce aux in-croi-yables facultés de notre cerveau, qui ne peut pas s'empêcher d'accumuler tout les indices qu'il peut trouver, comme par exemple, une virgule mal placée, ou une expression familière, pour leur donner une signification, et l'interpréter en temps réel !

C'est pour ça que dès que tu a lu « Eh oui Fred », tu n'as pas pu t'empêcher de lire mon commentaire dans la voix de Jamy, à moins bien sûr, que tu sois trop jeune, ou trop vieux, pour avoir connu l'émission C'est pas sorcier!, auquel cas, je te plains vraiment.

Petit bonus, si en plus, tu t'imagine Jamy raconter tout ça la tête en bas.

Commentaire #142527 écrit par Gné? le 11/07/2014 à 13h20 | 👍🏽 👎🏽

Le mec qui fait ces émissions est à l'envers. Ça en explique des choses.

Commentaire #142528 écrit par Homer le 11/07/2014 à 13h21 | 👍🏽 👎🏽

Moi je vais coder un anti-virus qui bloque systématiquement tous les fichiers, comme ça au moins, aucun risque. Et l'anti-virus en question sera quantique, histoire qu'il ne se bloque pas lui même ! (Pas con hein ! )

Commentaire #142549 écrit par Loy le 11/07/2014 à 15h30 | 👍🏽 👎🏽

Il classe pas ça comme une zip-bomb ?

Commentaire #142567 écrit par Acorah le 11/07/2014 à 17h31 | 👍🏽 👎🏽

What does the Fox says???

Commentaire #142579 écrit par Chris le 11/07/2014 à 18h13 | 👍🏽 👎🏽

Ce genre de remarques est absolument honteux et montre bien le délitement actuel de la morale. T'arrive-t-il seulement de penser aux enfants ? Pense aux enfants !

Commentaire #142612 écrit par BSK le 11/07/2014 à 21h07 | 👍🏽 👎🏽

https://fr.wikipedia.org/wiki/Renard#Vocabulaire

Le renard « glapit » (cri bref, peu sonore) et « jappe », aboiement aigu (jappement) en période de rut, qui s'entend très loin.

Commentaire #142613 écrit par BSK le 11/07/2014 à 21h12 | 👍🏽 👎🏽

À noter que les vieux formats d'Office font également usage d'une forme de "contenant" : COM/OLE. Pour ceux qui voudraient s'amuser, je recommande OpenMcdf.

Commentaire #142655 écrit par FlashSoul le 12/07/2014 à 08h38 | 👍🏽 👎🏽