Après Confliker, et avant l'arrivée de la grippe mexicaine. Un mal nous
ronge lentement et inexorablement , tout en restant relativement
discret. Quel est cette menace ?
Depuis un certain temps déjà, les fichiers PDF subissent des attaques qui vont en crescendo, et bizarrement peu de personnes se sentent concernées, les sociétés ne patchent pas ou peu leur lecteur laissant cette infection se développer. En effet, les attaques sur le format PDF ont été multipliées par 20 en un peu moins d'un an. On connaissait déjà le spam utilisant un fichier pdf en pièce jointe, ce qui permettait de passer les filtres anti-spam. Maintenant, le fichier pdf contient des codes malicieux permettant d'installer des chevaux de Troie ou autres keylogger. La cible privilégiée est bien sûr le client Adobe Reader victime de son succès, et surtout de sa façon de gérer les plug-in. En Septembre 2007 déjà, les experts ayant détecté une faille critique dans le lecteur, avaient préconisé de ne plus ouvrir les fichiers PDF pendant le mois qui séparait la fourniture par Adobe du correctif. Selon Symantec, le téléchargement de fichiers PDF infectés représentait 11 % des attaques globalement observées sur Internet en 2008, soit la deuxième menace de l'année, et pourrait bien passer première cette année.
Alors où est la solution filtrer les fichiers pdf en entrée ? Changer de lecteur, puisque la plupart des attaques ciblent Adobe Reader, et qu'il faut au pirate modifier le fichier incriminé pour toucher d'autre lecteur ? Sensibiliser l'utilisateur que le format pdf paraissant inoffensif (comme d'ailleurs jpg, gif, ou mp3) ne l'est plus ? Désactiver le javascript puisque 99% des attaques l'utilisent ? (on empêche simplement le code cherchant à exploiter la faille de s'exécuter).
Bien qu'il existe quelques failles zero-day (c'est-à-dire non connues), il faut, dans ce cas, faire confiance à Adobe qui se montre très réactif sur ce sujet, et permettre à tous les lecteurs de se patcher en temps voulu. Il y aussi des alternatives nombreuses au lecteur d'Adobe, il faut alors se rendre sur site : PDFreaders.org.
Effectivement c'est une tendance confirmée:
http://www.sophos.com/blogs/gc/g/2009/04/29/alarm-raised-adobe-pdf-zeroday-vulnerability/
Par contre, pour l'attente sur la grippe mexicaine, j'ai bien peur que ce soit déjà trop tard, les 'anti-grippe' russes sont déjà à l'affut!
http://www.sophos.com/blogs/sophoslabs//?p=4274
meme le gouvernement en parle :
http://www.securite-informatique.gouv.fr/gp_article673.html
"faire confiance à Adobe qui se montre très réactif sur ce sujet"
Mouais... Adobe a mis presque un mois pour corriger la dernière faille importante qui a été découverte (découverte le 20 février, corrigée le 11 mars...)
http://forum.malekal.com/viewtopic.php?f=12&t=15065#p139550
Il faut bien faire confiance à Adobe, sinon... rien... Bon, sur certaines failles ils ne sont pas réactifs, certes, mais au moins ils les admettent, et conseillent de désactiver javascript... Ils m'ont lu :)).
Je plaisante, je plaisante, mais une attaque massive sur un format comme celui ci pourrait faire très mal...
Et cela continue, bulletin du 30 Avril... On va croire que j'ai écrit les virus...
http://www.zdnet.fr/actualites/informatique/0,39040745,39500339,00.htm?xtor=EPR-105
Les faiblesses d’Adobe PDF ne sont pas récentes. Il est cependant tout à fait exact que peu de monde s'en soucie. Les documents PDF sont toujours considérés comme inoffensifs. Cela augmente l’atttrait d’utiliser ce vecteur pour compromettre des réseaux entiers.
Désactiver le JavaScript est une solution à court terme vraiment efficace à condition de pouvoir l’appliquer sur tous les PC. Cependant il ne faut pas oublier que le code malicieux reste dans le PDF et que, si on renvoie ce fichier, on distribue soi-même un code malicieux !