Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

L'acrobate sur le fil du rasoir

L'acrobate sur le fil du rasoir
2009-04-302013-02-11sécurité du poste de travailfr
Depuis un certain temps déjà, les fichiers PDF subissent des attaques qui vont en crescendo, et bizarrement peu de personnes se sentent concernées, les sociétés ne patchent pas ou peu leur lecteur laissant cette infection se...
Publié le 30 Avril 2009 par Philippe Maltere dans sécurité du poste de travail
Après Confliker, et avant l'arrivée de la grippe mexicaine. Un mal nous ronge lentement et inexorablement , tout en restant relativement discret. Quel est cette menace ?
Depuis un certain temps déjà, les fichiers PDF subissent des attaques qui vont en crescendo, et bizarrement peu de personnes se sentent concernées, les sociétés ne patchent pas ou peu leur lecteur laissant cette infection se développer. En effet, les attaques sur le format PDF ont été multipliées par 20 en un peu moins d'un an. On connaissait déjà le spam utilisant un fichier pdf en pièce jointe, ce qui permettait de passer les filtres anti-spam. Maintenant, le fichier pdf contient des codes malicieux permettant d'installer des chevaux de Troie ou autres keylogger. La cible privilégiée est bien sûr le client Adobe Reader victime de son succès, et surtout de sa façon de gérer les plug-in. En Septembre 2007 déjà, les experts ayant détecté une faille critique dans le lecteur, avaient préconisé de ne plus ouvrir les fichiers PDF pendant le mois qui séparait la fourniture par Adobe du correctif. Selon Symantec, le téléchargement de fichiers PDF infectés représentait 11 % des attaques globalement observées sur Internet en 2008, soit la deuxième menace de l'année, et pourrait bien passer première cette année.

Alors où est la solution filtrer les fichiers pdf en entrée ? Changer de lecteur, puisque la plupart des attaques ciblent Adobe Reader, et qu'il faut au pirate modifier le fichier incriminé pour toucher d'autre lecteur ? Sensibiliser l'utilisateur que le format pdf paraissant inoffensif (comme d'ailleurs jpg, gif, ou mp3) ne l'est plus ? Désactiver le javascript puisque 99% des attaques l'utilisent ? (on empêche simplement le code cherchant à exploiter la faille de s'exécuter).

Bien qu'il existe quelques failles zero-day (c'est-à-dire non connues), il faut, dans ce cas, faire confiance à Adobe qui se montre très réactif sur ce sujet, et permettre à tous les lecteurs de se patcher en temps voulu. Il y aussi des alternatives nombreuses au lecteur d'Adobe, il faut alors se rendre sur site : PDFreaders.org.

5 Commentaires

  • 4 Mai 2009
    2009-05-04
    par
    Michel Nolf
    Les faiblesses d'Adobe PDF ne sont pas récentes. Il est cependant tout à fait exact que peu de monde s'en soucie. Les documents PDF sont toujours considérés comme inoffensifs. Cela augmente l'atttrait d'utiliser ce vecteur pour compromettre des réseaux entiers.

    Désactiver le JavaScript est une solution à court terme vraiment efficace à condition de pouvoir l'appliquer sur tous les PC. Cependant il ne faut pas oublier que le code malicieux reste dans le PDF et que, si on renvoie ce fichier, on distribue soi-même un code malicieux !
  • 3 Mai 2009
    2009-05-04
    par
    Il faut bien faire confiance à Adobe, sinon... rien... Bon, sur certaines failles ils ne sont pas réactifs, certes, mais au moins ils les admettent, et conseillent de désactiver javascript... Ils m'ont lu :)).

    Je plaisante, je plaisante, mais une attaque massive sur un format comme celui ci pourrait faire très mal...
    Et cela continue, bulletin du 30 Avril... On va croire que j'ai écrit les virus...

    http://www.zdnet.fr/actualites/informatique/0,39040745,39500339,00.htm?x...
  • 2 Mai 2009
    2009-05-04
    par
    Anthony
    "Faire confiance à Adobe qui se montre très réactif sur ce sujet"

    Mouais... Adobe a mis presque un mois pour corriger la dernière faille importante qui a été découverte (découverte le 20 février, corrigée le 11 mars...)

    http://forum.malekal.com/viewtopic.php?f=12&t=15065#p139550
  • 30 Avril 2009
    2009-05-04
    par
  • 30 Avril 2009
    2009-05-04
    par
    Effectivement c'est une tendance confirmée:
    http://www.sophos.com/blogs/gc/g/2009/04/29/alarm-raised-adobe-pdf-zerod...

    Par contre, pour l'attente sur la grippe mexicaine, j'ai bien peur que ce soit déjà trop tard, les 'anti-grippe' russes sont déjà à l'affut!
    http://www.sophos.com/blogs/sophoslabs//?p=4274

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage