Un chercheur (re)découvre l’insécurité du format PDF
Qui (re)cherche (re)trouve
Didier Stevens, chercheur en sécurité, a publié un PoC ou Proof of Concept sur son site montrant combien il est simple de faire exécuter par une ligne de commande (/Launch /Action) un programme dans un PDF.
Résultat ? Sur des lecteurs PDF comme Adobe Reader, un message s’affiche pour alerter l’utilisateur et lui demander de faire de cette action :
Toutefois, toujours sur Acrobat Reader, il est possible de déjouer l’attention de la future victime en affichant dans la boite de dialogue plusieurs lignes de texte destinées à le mettre en confiance. Là, il devient nettement plus simple d’inciter cette personne à mordre à l’hameçon :
Mais sur Foxit Reader, d’une pêche à l’hameçon, on glisse à une technique à la dynamite puisqu’aucune alerte n’est placardée sur l’écran : l’utilisateur frétillant est alors ferré dès la première touche.
On soulignera que cette « découverte » n’en est pas une, même si Didier Stevens refuse pour l’heure de publier les détails de ce PoC. Une rapide analyse du PDF « exemple » ne trompe pas ...
...et nous replonge dans les travaux que Frédéric Raynal présentait déjà fin 2008 : une étude sur les risques liés au PDF, via différentes actions possibles pour déjouer la sécurité d’un système ou tromper malicieusement l’attention de l’utilisateur (l'étude, les slides).
L’auteur expliquait alors l’existence d’un faux sentiment de sécurité avec ce format, sentiment qui « provient essentiellement de ce que les documents PDF apparaissent statiques. Cela est également dû, sans doute, à l'utilisation massive d'Acrobat Reader, au détriment de logiciels permettant la manipulation des fichiers PDF. En conséquence, les fichiers PDF sont perçus comme des images plutôt que comme des documents actifs. Et comme chacun le sait, une image n'est pas dangereuse, donc un PDF non plus. »
Résultat ? Sur des lecteurs PDF comme Adobe Reader, un message s’affiche pour alerter l’utilisateur et lui demander de faire de cette action :
Toutefois, toujours sur Acrobat Reader, il est possible de déjouer l’attention de la future victime en affichant dans la boite de dialogue plusieurs lignes de texte destinées à le mettre en confiance. Là, il devient nettement plus simple d’inciter cette personne à mordre à l’hameçon :
Mais sur Foxit Reader, d’une pêche à l’hameçon, on glisse à une technique à la dynamite puisqu’aucune alerte n’est placardée sur l’écran : l’utilisateur frétillant est alors ferré dès la première touche.
On soulignera que cette « découverte » n’en est pas une, même si Didier Stevens refuse pour l’heure de publier les détails de ce PoC. Une rapide analyse du PDF « exemple » ne trompe pas ...
...et nous replonge dans les travaux que Frédéric Raynal présentait déjà fin 2008 : une étude sur les risques liés au PDF, via différentes actions possibles pour déjouer la sécurité d’un système ou tromper malicieusement l’attention de l’utilisateur (l'étude, les slides).
L’auteur expliquait alors l’existence d’un faux sentiment de sécurité avec ce format, sentiment qui « provient essentiellement de ce que les documents PDF apparaissent statiques. Cela est également dû, sans doute, à l'utilisation massive d'Acrobat Reader, au détriment de logiciels permettant la manipulation des fichiers PDF. En conséquence, les fichiers PDF sont perçus comme des images plutôt que comme des documents actifs. Et comme chacun le sait, une image n'est pas dangereuse, donc un PDF non plus. »
Marc Rees
le 1 avril 2010 à 09:07
(22 064
lectures)
Actualités et brèves relatives
- 18 / 12 / 2009 : Nouvelle vulnérabilité 0-day dans Acrobat et Adobe Reader (màj)
- 14 / 10 / 2009 : Acrobat et Reader : Adobe comble pas moins de 29 failles
- 12 / 10 / 2009 : 0-Day : Une faille critique dans Adobe Reader colmatée demain
- 14 / 05 / 2009 : Adobe corrige une faille critique dans Acrobat et Reader
- 11 / 03 / 2009 : Adobe bouche la faille critique de ses produits Acrobat 9
- 23 / 02 / 2009 : Faille critique dans Acrobat 7, 8 et 9 : rien avant le 11 mars
- 25 / 06 / 2008 : Adobe corrige une faille critique dans ses Reader 7 et 8
- 21 / 09 / 2007 : Faille critique dans les documents au format PDF
