L'acrobate sur le fil du rasoir

Après Confliker, et avant l'arrivée de la grippe mexicaine. Un mal nous ronge lentement et inexorablement , tout en restant relativement discret. Quel est cette menace ?
Depuis un certain temps déjà, les fichiers PDF subissent des attaques qui vont en crescendo, et bizarrement peu de personnes se sentent concernées, les sociétés ne patchent pas ou peu leur lecteur laissant cette infection se développer. En effet, les attaques sur le format PDF ont été multipliées par 20 en un peu moins d'un an. On connaissait déjà le spam utilisant un fichier pdf en pièce jointe, ce qui permettait de passer les filtres anti-spam. Maintenant, le fichier pdf contient des codes malicieux permettant d'installer des chevaux de Troie ou autres keylogger. La cible privilégiée est bien sûr le client Adobe Reader victime de son succès, et surtout de sa façon de gérer les plug-in. En Septembre 2007 déjà, les experts ayant détecté une faille critique dans le lecteur, avaient préconisé de ne plus ouvrir les fichiers PDF pendant le mois qui séparait la fourniture par Adobe du correctif. Selon Symantec, le téléchargement de fichiers PDF infectés représentait 11 % des attaques globalement observées sur Internet en 2008, soit la deuxième menace de l'année, et pourrait bien passer première cette année.

Alors où est la solution filtrer les fichiers pdf en entrée ? Changer de lecteur, puisque la plupart des attaques ciblent Adobe Reader, et qu'il faut au pirate modifier le fichier incriminé pour toucher d'autre lecteur ? Sensibiliser l'utilisateur que le format pdf paraissant inoffensif (comme d'ailleurs jpg, gif, ou mp3) ne l'est plus ? Désactiver le javascript puisque 99% des attaques l'utilisent ? (on empêche simplement le code cherchant à exploiter la faille de s'exécuter).

Bien qu'il existe quelques failles zero-day (c'est-à-dire non connues), il faut, dans ce cas, faire confiance à Adobe qui se montre très réactif sur ce sujet, et permettre à tous les lecteurs de se patcher en temps voulu. Il y aussi des alternatives nombreuses au lecteur d'Adobe, il faut alors se rendre sur site : PDFreaders.org.
Nicolas Jacquey
Philippe Maltere

_