C'est à Berlin que s'est déroulé le 27
e Chaos Communication Congress (
27C3), congrès qui propose depuis 1984 des conférences et des ateliers s'étalant sur quatre jours de divers thèmes, dont notamment la technologie de l'information, la sécurité informatique, Internet et la cryptographie. Des débats sont également proposés sur les créations technologiques et les effets des progrès dans ce domaine sur la société.
Des révélations
Le congrès a ainsi accueilli le 30 décembre, pendant une heure, la chercheuse en sécurité Julia Wolf de la firme américaine
FireEye. Encore inconnue, cette personne a relevé des problèmes de sécurité au niveau des documents de la norme
PDF d'Adobe. La spécificité du PDF est de préserver la mise en forme (polices d'écriture, images, objets graphiques…) pour permettre un rendu identique sur n'importe quelle plate-forme utilisée pour visionner ou imprimer le fichier.
Ce format, créé par Adobe en 1993, fut géré exclusivement dans ses débuts grâce au logiciel
Adobe Acrobat. Ce logiciel, mis au point par Adobe Systems, représente environ 15 millions de lignes de code dont une grande partie aurait été écrite dans les années 1990. C'est pendant cette période que le format PDF s'est standardisé. De nos jours, ce logiciel a été amélioré et est capable d'effectuer un rendu 3D avec OpenGl, d'afficher des éléments de la technologie
Flash, de lire un fichier audio ou vidéo, ou encore de compléter des formulaires. Adobe autorise l'ajout d'extensions pour étendre les fonctionnalités de son logiciel, Adobe Acrobat. Il existe un grand nombre de programmes secondaires qui permettent de créer et manipuler des PDF. Sous Windows, on peut citer
Foxit Reader et
XPDF, qui fonctionne également sous UNIX.
L'implémentation du JavaScript par Adobe source de problèmes
Julia Wolf, dans son intervention, présente le format PDF comme le principal vecteur des attaques contre les entreprises et les gouvernements qui l'utilisent en abondance pour la communication et l'échange de données. Ces attaques, très difficiles à détecter, viendraient de l'implémentation du
JavaScript. La chercheuse explique que toutes les données et les méta-documents des fichiers PDF sont lisibles et accessibles en écriture à partir de JavaScript. C'est donc de la mauvaise implémentation du JavaScript qu'a réalisée Adobe dans son logiciel Adobe Acrobat que viendrait cette faille. Plusieurs autres causes sont démontrées comme le
XML et la technologie Flash. Wolf a expliqué qu'il est également possible de générer des fichiers PDF très petits en utilisant seulement du JavaScript. Certains objets peuvent être référencés plusieurs fois pour déclencher des réponses différentes lors de l'ouverture d'un fichier pour chaque lecteur tout cela en fonction de son OS, de sa langue et de sa version de Adobe Acrobat. Les fichiers compressés seraient également touchés sur des formats tels que
ZIP. Dans ces fonctionnalités, Adobe Acrobat a la possibilité de lancer des programmes. Si l'on met dans le fichier PDF un exécuteur, Adobe va-t-il l’exécuter ? Oui, et tout cela à cause du JavaScript mal implanté par Adobe.
La chercheuse nous montre également comment modifier le contenu d'un fichier PDF. Ci-dessous, voici un code d'exemple forçant l'ouverture de fichier depuis votre disque dur ou depuis un site web :
Code : JavaScript | // Ouverture d'un de vos fichiers PDF
var otherDoc = app.openDoc("C:\fichier\monDocument.pdf");
// Ouverture d'un fichier PDF qui ne vous appartient pas
var otherDoc = app.openDoc({cPath: "http://www.exemple.com/foo.pdf",
cFS: "CHTTP" });
|
Les risques
Pour ne rien arranger au problème, vient s'ajouter la baisse de surveillance de la plupart des programmes anti-virus sur la sécurité des fichiers. En effet, ils seraient incapables de détecter les logiciels malveillants glissés dans les fichiers au format PDF. La chercheuse affirme que plus de la moitié des quarante anti-virus testés ne détectent rien. Si le code JavaScript malveillant venait à être comprimé, sa détection deviendrait encore plus difficile.
Les risques encourus sont nombreux. Pour l'inclusion d’exécuteur dans un fichier PDF, ce dernier va se comporter un peu à l'image d'un cheval de Troie. Le programme espion va capter les différentes informations à sa portée, ce qui peut être très dangereux s'il venait à pénétrer dans les réseaux des gouvernements.
La faille devrait être, d'après Adobe, comblée depuis la dixième version d'Adobe Acrobat qui exécuterait le JavaScript séparément en mode sécurisé, permettant alors d'éviter l’exécution libre de programmes inclus dans le fichier PDF. Vous pouvez toujours, par mesure de sécurité, désactiver le JavaScript. De plus, d'autres experts en sécurité recommandent d'utiliser des outils spéciaux pour retirer les méta-données des fichiers PDF ou de vérifier la syntaxe du fichier pour les problèmes de conformité en amont. Mais le problème est-il vraiment résolu ?
Sources et liens
Adobe
New Security Issues in Adobe’s PDF Standard ─ Live Hacking
Trouvez une formation
Précédente
Suggestions
Flux RSS News
Twitter
Facebook
Google+
58 Participations
Connectez-vous !
Connectez-vous !
Revenir à la liste des news
Lire aussi