Le format PDF présente des risques de sécurité

Par Rédaction, secuobs.com
Le 17/02/2009

---

Résumé : Une présentation effectuée à l’OSSIR et à Pacsec fait le point sur l’insécurité intrinsèque du format PDF, qui peut être un vecteur de transmission de code malveillant sans exploitation de failles. - Lire l'article



Le format PDF, à l’instar d’autres formats bureautiques, a souvent été utilisé pour la transmission, massive ou ciblée de codes malveillants. Bien souvent, des failles présentes dans le lecteur PDF installé sur la plupart des ordinateurs permettent à ce format d’être un vecteur de codes exécutables. Mais sans même tirer partie d’une telle faille, souvent éphémère, les spécifications PDF en elles-mêmes peuvent être utilisées de manière détournée. Il en résulte des risques de sécurité ayant une durée de vie plus longue que les failles d’implémentation.

Le chercheur Frédéric Raynal de la société SOGETI (groupe Cap Gemini) a ainsi présenté lors de la conférence Pacsec, qui a eu lieu a Tokyo en novembre 2008, puis plus récemment lors d’une réunion de l’OSSIR ( Observatoire de la sécurité des systèmes d’informations et des réseaux ), ses travaux (en collaboration avec G. Delugré) sur l’insécurité « intrinsèque » du format PDF.

Au fil des versions, de nombreuses fonctionnalités ont été rajoutées au sein du format PDF, qui est passé de la version 1.0 en 1991 à la version 1.7 (intégrant flash et des améliorations de la visualisation 3D). Parmi toutes ces améliorations, on notera l’arrivée du langage Javascript en 1999.

Cette grande richesse fonctionnelle introduit bien évidemment des risques de sécurité, en particulier vis-à-vis de certaines fonctions et notamment l’exécution de code javascript ou le lancement de programmes externes (via OpenAction par exemple).

Cependant des mécanismes de sécurité ont été intégrés, comme par exemple l’exécution de l’interpréteur javascript en mode restreint, ou encore une liste noire d’extensions de fichier qu’il n’est normalement pas possible d’appeler depuis un document PDF.

Mais il est possible de passer outre ces mécanismes. Ainsi, une liste blanche d’extensions et de protocoles qu’il est possible d’utiliser (sans message d’alerte) est présente dans la configuration utilisateur (dans la base de registre). Par ailleurs le filtre d’extensions est quelque peu défectueux, aussi bien dans les versions 8 et inférieures que 9 d’Acrobat Reader (les bugs étant différents selon les versions).

D’autre part, plusieurs fonctionnalités du format PDF (les usage rights) peuvent être débloquées lorsque le document est signé numériquement avec une clé privée embarquée dans certains produits professionnels d’Adobe. Il devient ainsi possible d’activer par exemple la fonctionnalité de sauvegarde.

Au final, l’utilisation malicieuse de ces fonctions, combinée avec un minimum de « social engineering », peut permettre à un attaquant éventuel de disposer d’un point d’entrée dans un réseau d’entreprise, à partir duquel il pourra éventuellement rebondir.

Il est donc conseillé d’utiliser un visualisateur de documents PDF minimaliste et de faire attention à toute pop-up qui s’ouvrirait lors de la lecture d’un tel document.



La présentation à l’OSSIR : lien