Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les fichiers Adobe PDF : Un vecteur d'attaque en plein boom

Les fichiers Adobe PDF : Un vecteur d'attaque en plein boom
2011-03-152013-02-11sécurité du poste de travailfr
Les récents évenements ont démontré la dangerosité des fichiers PDF : Ils ont été directement mis en cause comme l'un des moyens utilisés pour attaquer le ministère de l'Economie et des Finances. Les fichiers PDF ont la faveur des cybercriminels. Ils sont un moyen particulièrement...
Publié le 15 Mars 2011 par Jean-François Audenard dans sécurité du poste de travail
Adobe Reader

Les récents évenements ont démontré la dangerosité des fichiers PDF : Ils ont été directement mis en cause comme l'un des moyens utilisés pour attaquer le ministère de l'Economie et des Finances.

Les fichiers PDF ont la faveur des cybercriminels. Ils sont un moyen particulièrement efficace pour attaquer au cœur même d'un réseau d'entreprise. Décryptage de cette tendance et recommandations.

PDF : un type de fichier très utilisé en entreprise

Au sein d'une entreprise, les fichiers PDF sont l'un des type de fichier rétrouvé le plus fréquemment dans les échanges de mails, sur les disques locaux et partages réseaux. Un fichier PDF c'est extremement pratique, on s'en sert pour envoyer des propositions commerciales à ses clients et prospects, diffuser une note ou un compte-rendu ou encore pour un rapport ou un jeu de slides que l'on souhaite "figer" de façon à ce qu'aucune modification ne puisse être effectuée à votre insu.

Afin de vérifier cette idée de la "pré-dominance du PDF", je me suis prêté au jeu de faire le décompte des fichiers présents sur l'un de mes disques de mon poste de travail. Efffectivement, les fichiers PDF sont en tête du peloton :

  1. Fichiers PDF : 1893
  2. Fichiers Word : 1440
  3. Fichiers PPT : 1182
  4. Fichier Excel : 351
  5. Fichier zip : 281

passerelles de messagerie permissives et antivirus dépassés

Tous ces type de fichiers sont utilisés pour des raisons professionnelles : Les systèmes de filtrage antispam et antivirus se doivent donc de les laisser passer, après un passage préalable à l'antivirus. A contrario, les fichiers executables (".exe") sont très souvent bloqués de facto par les serveurs de messagerie car ils sont considérés comme nocifs et inutiles : Les envoyer au passage antivirus serait du gachis pur et simple : C'est direct poubelle !

Le problème c'est que l'on sait (chut!) que les antivirus sont dépassés par les évenments : Ils n'arrivent plus à suivre la déferlante des codes malicieux et autres exploits... Il sera donc assez aisé pour des attaquants de passer cette barrière de défense et faire en sorte qu'un fichier PDF arrive effectivement dans la boite d'arrivée des utilisateurs.

sentiment d'innocuité

Dans l'esprit d'une très vaste majorité de personnes, les fichiers PDF sont sûrs et sécurisés. Comment cela pourrait-il être autrement d'ailleurs pour un format de fichier si répandu ? Si le format PDF c'était aussi dangeureux que cela, alors il aurait été remplacé par un autre format de fichier encore mieux.... Je pense que nous en sommes à ce niveau : La sensibilisation et l'éducation des personnes est encore un peu balbutiante.

course à l'information et syndrome du double-clic compulsif

De plus, la tendance est un peu à la course à l'information. Qui peut dire qu'il n'est pas friant du dernier livre blanc ou du dernier document de référence ou ebook ? La recherche permanente de la dernière information rends les personnes vulnérables au syndrome du double-clic compulsif : On reçoit un mail avec un fichier PDF ? Ou l'ouvre le fichier avant même d'avoir lu le corps du message (si il y en a un...).

Avec le sentiment d'innocuité, nous avons là une voie un peu "royale" pour des attaquants de tout poil.

omniprésence du logiciel d'Adobe

Et oui, pour ouvrir les PDF, faut un logiciel et celui qui le "roi" dans le domaine c'est "Adobe Reader". Celui-ci est omniprésent : Pas une machine sans que l'on retrouve ce joli programme lié automatiquement aux fichiers ayant l'extension ".pdf".

Il ont été malin chez Adobe : Logiciel gratuit, disponible sur de multiples plateformes. Se lance rapidement et s'intègre plutot bien dans les navigateurs Internet. Toutes les conditions sont réunies pour qu'il soit installé le plus rapidement possible sur une machine (si pas disponible en standard ou installé de "force" avec un autre logiciel, accès à la documentation oblige...)

difficiles mises à jour du logiciel d'Adobe

Adobe reader, comme pour tout logiciel, comporte des failles de sécurité. On peut dire qu'Adobe ne traine pas pour publier une nouvelle version de son logiciel pour corriger les problèmes au fur et à mesure qu'ils sont découverts. De ce coté, ça roule.

Le hic, c'est que les utilisateurs ne mettent pas à jour leur Reader..... ni beaoucoup de directions informatiques d'ailleurs.... Faite la vérification vous-même : Aller voir la liste des versions disponibles et leurs notes d'informations sur le site d'Adobe : Alors vous êtes à jour ???

Non, vous n'êtes pas à jour. Oui, votre version du logiciel Adobe Reader que vous utilisez qutodiennement contient près de 10 failles critiques permettant de prendre le contrôle de votre poste. Ne restez pas sceptique : Regardez par vous-même.... Prenez 10 minutes de votre temps et vous verrez que j'ai raison....

passage à un lecteur alternatif

Une stratégie de défense efficace c'est d'utiliser un lecteur différent de celui d'Adobe. Il existe des lecteurs PDF alternatifs de qualité, je n'en citerai que deux : Sumatra PDF et Foxit Reader. Désinstallez Adobe Reader et remplacez-le : Vous augmenterez notablement votre protection contre un vecteur d'attaque qui est en plein croissance.

mi-2011, près de 80% des attaques ciblées utiliseront les fichiers PDF

Que ceux qui pense que le PDF est inoffensif, je les invite à lire le dernier rapport de Symantec/MessageLabs (Un PDF !). Selon les chiffres présentés, sur 2010, près de 65% des attaques ciblées utilisaient des fichiers PDF. La tendance est à la hausse car les prévisions indiquent que ce chiffre pourrait grimper à 76% vers le milieu de l'année 2011.

5 Commentaires

  • 22 Mars 2011
    2011-03-22
    par
    Bonjour Philippe !
    Sympa de se retrouver sur le blog. :-)
    Le papier de Paul Baccas est effectivement très intéressant. Merci.
    JF
  • 21 Mars 2011
    2011-03-22
    par
    Bonjour Jean-François,

    Un petit complément sur les exploits PDF (en anglais):
    http://www.sophos.com/security/technical-papers/malicious_pdfs.html


  • 16 Mars 2011
    2011-03-22
    par
    Hello Florent.

    Effectivement, ce sont toutes les "fonctions additionnelles" qui ont apportées leur lot de complexité additionnelle et les failles qui vont avec.

    Tu fais bien de pointer que Foxit a aussi ses problèmes : Tous les logiciels ont des failles..... certains plus que d'autres. Après, changer pour Foxit, même si celui-ci a des problèmes sera, en valeur relative, une amélioration sensible du niveau de sécurité par rapport à un Acrobat Reader non patché. Car oui, les cybercriminels vont cibler en 1er les failles d'Acrobat et à priori moins celles de lecteurs PDF de "2nd plan" comme Foxit.

    La visionneuse de Google : Yes, bon pour les fichiers externes mais pour des documents internes, cela doit être autorisé/approuvé par la politique de sécurité interne de son entreprise. Google is watching us. :-).

    Sur ta question : Je dirai que la vaste majorité des personnes ont les patchs systèmes en place sur leurs machines perso, les entreprises aussi doivent à priori être aussi à jour (c'est le basic-o-basic). Ou c'est aussi pourri d'un coté comme de l'autre ce sont les applications qui ne sont jamais mise à jour. Si l'on utilise pas un logiciel comme PSI de Secunia c'est perdu d'avance car trop complexe et couteux en temps.
    Seules les entreprises les plus soucieuses et investissant lourdement dans la sécurité ont un parc de systèmes et d'applications à jour.... le reste ca doit être la jungle comme on le rencontre assez souvent sur le terrain.
    Peut-être que les postes de travail virtualisés vont-ils amener des solutions à cette problématique ? C'est l'une de leurs promesses : reste à vérifier dans la vraie vie ce qui est effectivement fait.
  • 16 Mars 2011
    2011-03-22
    par
    Florent
    Bonjour Jean-François,

    le PDF a su donner une impression de fichier non modifiable, universel et sûr qui lui a permis d'assoir sa réputation. Il est utilisé pour les factures, les CV, les articles scientifiques (on ne voit plus de postscript), ...

    Pourtant le format PDF a été petit à petit étendu en fonctionnalités au point-même d'y ajouter des vulnérabilités intrinsèques telles que la fonction "Launch" : http://blog.didierstevens.com/category/pdf/page/2/.

    Le code nécessaire pour gérer autant de spécificités est donc conséquent et augmente la probabilité de contenir des vulnérabilités. C'est le cas flagrant pour Abode Reader mais aussi pour Foxit (http://osvdb.org/search/search?search%5Bvuln_title%5D=foxit+reader).

    La solution idéale à l'heure actuelle est d'utiliser la visionneuse de Google (sauf si on pense qu'ils espionnent tout).

    Un peu dans le même ordre d'idée, j'aurai le sujet suivant à te soumettre :
    Est-ce que tu penses que maintenant les ordinateurs des particuliers sont plus sûrs que ceux des entreprises grâce aux mises à jour automatiques ? Quand on connaît le niveau de patch management pour les applications tierces, on peut légitimement se poser la question.
  • 16 Mars 2011
    2011-03-22
    par
    Cette page de LockLizard (http://www.locklizard.com/pdf_security_news.htm) concentre un nombre important de liens et informations sur la sécurité des outils et du format PDF.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage