Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

La nouvelle star de la sécurité 2010

La nouvelle star de la sécurité 2010
2010-01-112013-02-11sécurité du poste de travailfr
Je vais tout de suite vous décevoir, la nouvelle star de la sécurité 2010 ne sera pas le facteur...
Publié le 11 Janvier 2010 par Philippe Maltere dans sécurité du poste de travail

Je vais tout de suite vous décevoir, la nouvelle star de la sécurité 2010 ne sera pas le facteur humain. Dommage, même si des journaux généralistes comme le Monde insiste sur l'importance du facteur humain sur la sécurité. Non, la star qui va déchainer les foules cette année sera... le format pdf.


Je sais, vous allez encore me dire que je vous en ai déjà parlé, et vous aurez raison, encore une fois. Adobe risque en cela de passer devant Microsoft au hit parade des éditeurs attaqués (surtout que le format flash se positionne très correctement dans ce classement), succès oblige. Je vous rappelle aussi que ce n'est pas le format pdf qui est attaqué, mais le lecteur pour le lire, à savoir, dans plus de 90% des cas en entreprise, Adobe Reader. Les attaques visent le lecteur star de la firme, et seulement lui. Pourquoi en parler alors? Tout simplement parce qu'une faille trouvée et exploitée depuis le 15 Décembre sera corrigé le 12 Janvier trêve des confiseurs oblige (?). Il s'agissait là d'un problème de Javascript.

...

Alors que faire? On peut bien sûr, manuellement empêcher le java script de s'exécuter, qui va l'enlever? Surtout que la plupart des sites sans javascript deviennent illisibles. Sauf si vous utilisez toute la suite Acrobat (et encore!), je ne saurai trop vous conseiller de passer à un lecteur alternatif, il en existe des dizaines (des centaines?) qui lui ne sera pas attaqué (enfin, pas tout de suite). Si ce n'est pas cette vulnérabilité là, ce sera la prochaine ou celle d'après qui bloquera votre réseau parce qu'un utilisateur aura cliqué en toute bonne foi sur un fichier pdf (format neutre, il sait déjà qu'il ne faut pas cliquer sur un exécutable). On vous l'aura dit, le pdf sera l'une des stars de l'année, et il est si simple d'éviter ce risque.

1 Commentaire

  • 13 Janvier 2010
    2010-01-13
    par
    Tout à fait d'accord, il est temps de vérifier les mises-à-jour et de les automatiser pour Reader, Acrobat et Flash.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage