Chronique sécurité

Failles de sécurité dans les fichiers PDF

Un commentaire

Les fichiers du type Portable Document Format (PDF) sont très fréquemment utilisés. Tel que conçu par son auteur, le format du texte est respecté indépendamment du logiciel, du système d’exploitation et de l’ordinateur utilisés. Les fichiers PDF sont omniprésents sur Internet et dans les pièces jointes des courriels.

Certaines personnes croient parfois à tort qu’ils sont impossibles à modifier. Des failles de sécurité y ont été récemment trouvées.

Problèmes liés aux fichiers PDF

Deux problèmes de sécurité  en lien avec les fichiers PDF ont été détectés. Il est possible de consulter un document du site Web Futura qui en fait la mention en cliquant ici. En voici un extrait :

« La première faille ne vient pas du format PDF lui-même, mais de la visionneuse, en l’occurrence celle intégrée au navigateur Google Chrome ». (source)

Des pirates ont préparé un document PDF avec des caractéristiques camouflées :

« En l’ouvrant dans le lecteur Adobe Reader, le fichier est parfaitement inoffensif. Cependant, en visualisant le PDF dans Google Chrome, ils ont détecté l’envoi de données vers un serveur suspect. » (source)

Ces données furtivement transmises permettent de pister les utilisateurs. Ce problème a été détecté en décembre 2018 et la faille de sécurité à l’intérieur de Chrome sera corrigée à la fin d’avril 2019.

« La seconde faille concerne, cette fois, les signatures numériques des documents PDF. Cette fonction de sécurité est utilisée au quotidien pour les documents officiels, les procédures légales, etc. » (source)

Les chercheurs ont trouvé trois méthodes d’attaque :

  • Universal Signature Forgery : manipulation des métadonnées de signature;
  • Incremental Saving Attack :  possibilité d’ajouter du contenu à la fin du fichier;
  • Signature Wrapping Attack : déplacement de contenu et insertion de nouvelles informations.

Ces failles sont très sérieuses. Sur 22 logiciels et services testés, il y en a 21 qui sont vulnérables à au moins une des trois méthodes mentionnées. Entre autres, ceci touche Acrobat Reader et les visionneuses en ligne.

« La bonne nouvelle est que les éditeurs des logiciels ont déjà publié une correction. Il faut donc s’assurer que ses logiciels sont à jour. »  (source)

Je tiens à remercier Jean-Victor Côté qui m’a fourni l’information permettant la rédaction de cet article.

Richard Gervais

Note de l’éditeur

L’image figurant au début de cet article provient du site Web Pexels et elle est libre de droits.

Une réflexion sur « Failles de sécurité dans les fichiers PDF »

  1. Eh bien. Décidemment, si ça continue comme ça, on ne pourra plus toucher à notre clavier sans préalablement faire une vérification de sécurité, hi hi!

    Merci, Richard et Jean-Victor. Je vais essayer de prendre la bonne habitude d’ouvrir les document .pdf avec le logiciel d’Adobe à l’avenir, au lieu de la visionneuse Chrome

Les commentaires sont fermés.