Les récents évenements ont démontré la dangerosité des fichiers PDF : Ils ont été directement mis en cause comme l'un des moyens utilisés pour attaquer le ministère de l'Economie et des Finances.
Les fichiers PDF ont la faveur des cybercriminels. Ils sont un moyen particulièrement efficace pour attaquer au cœur même d'un réseau d'entreprise. Décryptage de cette tendance et recommandations.
PDF : Un type de fichier très utilisé en entreprise
Au sein d'une entreprise, les fichiers PDF sont l'un des type de fichier rétrouvé le plus fréquemment dans les échanges de mails, sur les disques locaux et partages réseaux. Un fichier PDF c'est extremement pratique, on s'en sert pour envoyer des propositions commerciales à ses clients et prospects, diffuser une note ou un compte-rendu ou encore pour un rapport ou un jeu de slides que l'on souhaite "figer" de façon à ce qu'aucune modification ne puisse être effectuée à votre insu.
Afin de vérifier cette idée de la "pré-dominance du PDF", je me suis prêté au jeu de faire le décompte des fichiers présents sur l'un de mes disques de mon poste de travail. Efffectivement, les fichiers PDF sont en tête du peloton :
- Fichiers PDF : 1893
- Fichiers Word : 1440
- Fichiers PPT : 1182
- Fichier Excel : 351
- Fichier zip : 281
Passerelles de messagerie permissives et antivirus dépassés
Tous ces type de fichiers sont utilisés pour des raisons professionnelles : Les systèmes de filtrage antispam et antivirus se doivent donc de les laisser passer, après un passage préalable à l'antivirus. A contrario, les fichiers executables (".exe") sont très souvent bloqués de facto par les serveurs de messagerie car ils sont considérés comme nocifs et inutiles : Les envoyer au passage antivirus serait du gachis pur et simple : C'est direct poubelle !
Le problème c'est que l'on sait (chut!) que les antivirus sont dépassés par les évenments : Ils n'arrivent plus à suivre la déferlante des codes malicieux et autres exploits... Il sera donc assez aisé pour des attaquants de passer cette barrière de défense et faire en sorte qu'un fichier PDF arrive effectivement dans la boite d'arrivée des utilisateurs.
Sentiment d'innocuité
Dans l'esprit d'une très vaste majorité de personnes, les fichiers PDF sont sûrs et sécurisés. Comment cela pourrait-il être autrement d'ailleurs pour un format de fichier si répandu ? Si le format PDF c'était aussi dangeureux que cela, alors il aurait été remplacé par un autre format de fichier encore mieux.... Je pense que nous en sommes à ce niveau : La sensibilisation et l'éducation des personnes est encore un peu balbutiante.
Course à l'information et syndrome du double-clic compulsif
De plus, la tendance est un peu à la course à l'information. Qui peut dire qu'il n'est pas friant du dernier livre blanc ou du dernier document de référence ou ebook ? La recherche permanente de la dernière information rends les personnes vulnérables au syndrome du double-clic compulsif : On reçoit un mail avec un fichier PDF ? Ou l'ouvre le fichier avant même d'avoir lu le corps du message (si il y en a un...).
Avec le sentiment d'innocuité, nous avons là une voie un peu "royale" pour des attaquants de tout poil.
Omniprésence du logiciel d'Adobe
Et oui, pour ouvrir les PDF, faut un logiciel et celui qui le "roi" dans le domaine c'est "Adobe Reader". Celui-ci est omniprésent : Pas une machine sans que l'on retrouve ce joli programme lié automatiquement aux fichiers ayant l'extension ".pdf".
Il ont été malin chez Adobe : Logiciel gratuit, disponible sur de multiples plateformes. Se lance rapidement et s'intègre plutot bien dans les navigateurs Internet. Toutes les conditions sont réunies pour qu'il soit installé le plus rapidement possible sur une machine (si pas disponible en standard ou installé de "force" avec un autre logiciel, accès à la documentation oblige...)
Difficiles mises à jour du logiciel d'Adobe
Adobe reader, comme pour tout logiciel, comporte des failles de sécurité. On peut dire qu'Adobe ne traine pas pour publier une nouvelle version de son logiciel pour corriger les problèmes au fur et à mesure qu'ils sont découverts. De ce coté, ça roule.
Le hic, c'est que les utilisateurs ne mettent pas à jour leur Reader..... ni beaoucoup de directions informatiques d'ailleurs.... Faite la vérification vous-même : Aller voir la liste des versions disponibles et leurs notes d'informations sur le site d'Adobe : Alors vous êtes à jour ???
Non, vous n'êtes pas à jour. Oui, votre version du logiciel Adobe Reader que vous utilisez qutodiennement contient près de 10 failles critiques permettant de prendre le contrôle de votre poste. Ne restez pas sceptique : Regardez par vous-même.... Prenez 10 minutes de votre temps et vous verrez que j'ai raison....
Passage à un lecteur alternatif
Une stratégie de défense efficace c'est d'utiliser un lecteur différent de celui d'Adobe. Il existe des lecteurs PDF alternatifs de qualité, je n'en citerai que deux : Sumatra PDF et Foxit Reader. Désinstallez Adobe Reader et remplacez-le : Vous augmenterez notablement votre protection contre un vecteur d'attaque qui est en plein croissance.
Mi-2011, près de 80% des attaques ciblées utiliseront les fichiers PDF
Que ceux qui pense que le PDF est inoffensif, je les invite à lire le dernier rapport de Symantec/MessageLabs (Un PDF !). Selon les chiffres présentés, sur 2010, près de 65% des attaques ciblées utilisaient des fichiers PDF. La tendance est à la hausse car les prévisions indiquent que ce chiffre pourrait grimper à 76% vers le milieu de l'année 2011.