ActiveX utilisé comme un outil de piratage
Le Chaos Computer Club, une bande de Hackers de Hambourg ont montré le réel pouvoir d'ActiveX en février 1997. En direct sur une chaîne télévisée, ils ont montré qu'avec un contrôle ActiveX, on pouvait transférer de l'argent d'un compte vers un autre sans avoir le numero personnel d'identification du client (PIN) de protection. Dès qu'il est téléchargé depuis un site internet, le contrôle ActiveX recherche Quicken, le logiciel de finance couramment utilisé . Le contrôle ActiveX piège quicken en lui faisant transférrer des fonds d'un compte bancaire à un autre lors de la prochaine connection de l'utilisateur sur le service de la banque. Cet incident a souligné quelque chose que Microsoft, le créateur d'ActiveX et le plus grand expert en sécurité informatique savait déja depuis un certain temps: ses programmes ne sont pas surs. Tandis que les " applets Java" ne peuvent éxécuter certaines tâches comme effacer un fichier sur le disque dur de l'utlisateur, le contrôle ActiveX est capable de faire virtuellement n'importe quoi sur l'ordinateur de l'utilisateur, par exemple installer un virus. Microsoft a créé un systeme de sécurité ,appelé authenticode, qui permet à l'éditeur de logiciel d'attacher au controle une signature digitale. Alors si un controle ActiveX s'attaque à l'ordinateur de l'utilisateur, l'éditeur peut faire l'objet de poursuites. Donc l'authenticode ne permet pas de protéger l'utilisateur mais permet de localiser le pirate. Mais il est très possible qu'un utilisateur lassé par les fenêtres d'avertissement d'authenticode accepte un contrôle ActiveX non signé . Dès qu'il est accepté par un utlisateur, le programme est libre de faire son travail. Le contrôle ActiveX du Chaos Computer Club, par exemple , n'est pas signé. Microsoft travaille actuellement sur les capacités, bonnes et mauvaises, d'activeX. En février 1997, Microsoft a lancé une campagne d'information sur la sécurité. A propos de cet incident, Cornelius Willis le chef du groupe de production à Microsoft a déclaré "qu'il ne faut pas accepter de bonbons venant d'inconnu" et "qu'il faut espérer que l'on n'accepte plus d'éxécutables non signés". Mais les experts de la sécurité déclarent que la combinaison entre internet et des applications sérieuses va conduire à un nombre croissant de risques.
