Le spécialiste européen de la formation certifiante en informatique et management pour les entreprises

Faut-il supprimer Adobe Reader en entreprise ?

Le lecteur de PDF est devenu un vecteur d'attaques privilégié. Le directeur de la recherche de l'éditeur d'antivirus F-Secure préconise d'utiliser des lecteurs alternatifs gratuits.
Victime de son succès, le PDF est à nouveau montré du doigt par les experts en sécurité. Mikko Hypponen, le directeur des laboratoires de recherche de l'éditeur F-Secure, a expliqué à la conférence RSA 2009, qui s'est tenue du 20 au 24 avril à San Francisco, que les attaques visant le format étaient d'une telle fréquence qu'il déconseillait l'usage d'Adobe Reader, le lecteur le plus utilisé pour consulter les fichiers.

Selon les statistiques de F-Secure, le nombre d'attaques ayant recours à l'utilisation du format PDF a été multiplié par 20 en un an. L'éditeur a recensé 2 305 fichiers infectés du 1er janvier au 15 avril 2009, contre seulement 128 l'an dernier à la même période. Un grand nombre d'attaques consiste à envoyer par e-mail en pièces jointes des fichiers PDF infectés ayant pour objectif le vol d'informations par une porte dérobée.

Selon Mikko Hypponen, la plupart de ces attaques ciblent Adobe Reader, en particulier les plug-ins du lecteur qui s'installent dans le navigateur pour permettre une consultation directe du fichier pendant la navigation sur Internet. Pour limiter les risques, le chercheur recommande l'utilisation de lecteurs PDF concurrents. Sans mettre en avant tel ou tel logiciel, il conseille de se rendre sur le site PDFreaders.org, qui rassemble les alternatives gratuites.

Tous les experts confirment la recrudescence des attaques : Ce n'est pas la première fois que les experts invitent à autant de prudence. Au mois de septembre 2007, une faille critique avait frappé le lecteur d'Adobe, et les experts avaient préconisé de ne plus ouvrir les fichiers PDF jusqu'à la publication, un mois plus tard, par Adobe d'un correctif. Aujourd'hui, les statistiques montrent que la situation est à nouveau très tendue pour l'éditeur.

Les chiffres avancés par F-Secure concordent avec ceux publiés le 8 avril dernier par Microsoft dans la 6e édition de son Security Intelligence Report.

« Le nombre d'attaques du mois de juillet [2008] représente une hausse de plus de 100 % par rapport à l'ensemble des attaques du premier semestre de 2008. Ce pourcentage double ou presque pour chacun des derniers mois de l'année », note le rapport dont la synthèse en français est toujours disponible sur le site de Microsoft.

Selon Symantec, le téléchargement de fichiers PDF infectés représentait 11 % des attaques globalement observées sur Internet en 2008, soit la deuxième menace de l'année, derrière une attaque ayant ciblé Internet Explorer (30 % des attaques).

 « Le nombre de failles a augmenté et les attaques se multiplient. Au premier trimestre de 2009, nous avons même détecté une attaque Zero-Day [une faille non connue de l'éditeur découverte avant que des correctifs n'existent, NDLR]. La menace est très sérieuse car la plupart des entreprises ne filtrent pas l'accès aux fichiers PDF », explique Chaouki Bekrar, PDG de Vupen Security, un spécialiste de l'analyse des vulnérabilités et des menaces associées.

Les utilisateurs ne sont pas assez conscients du danger : Selon les experts, Adobe se montre plutôt réactif dans la publication de correctifs une fois les failles identifiées (il lui faut quelques jours voire quelques semaines pour publier un correctif), mais le problème vient de ce que les utilisateurs ne sont pas suffisamment conscients du danger.

« Le PDF est jugé inoffensif tout comme les formats image (fichiers Jpeg ou Gif) et les formats audio (MP3) qui peuvent pourtant tous être des vecteurs d'attaques », précise Laurent Heslaut, directeur technique Europe de Symantec.

Dans la mesure où Adobe Reader est le lecteur le plus déployé, l'utilisation de lecteurs alternatifs peut être une solution, sans toutefois éliminer tous les risques. « Les failles découvertes dans le format PDF sont d'abord exploitées pour attaquer Adobe Reader, puis les attaques sont adaptées pour toucher les autres lecteurs (Foxit Reader, KPDF, etc.). Les pirates doivent créer des fichiers PDF infectés différents selon le type de lecteur ciblé. De fait, dans la pratique, l'essentiel des attaques vise le Reader d'Adobe, qui est le plus utilisé », explique Chaouki Bekrar.

Selon le PDG de Vupen Security, un bon moyen de se protéger des attaques est de désactiver la prise en charge des Javascripts embarqués dans les PDF, quel que soit le lecteur que l'on utilise (par exemple avec l'option Activer Acrobat Javascript dans les Préférences d'Adobe Reader).

« 99 % des attaques exploitant les vulnérabilités du PDF utilisent Javascript. En le désactivant, on ne colmate pas la faille mais on empêche l'exécution du code malveillant cherchant à l'exploiter», note Chaouki Bekrar.

Tous les experts recommandent bien sûr d'effectuer des mises à jour régulières du lecteur de fichiers PDF. « C'est notre responsabilité à tous de sensibiliser les utilisateurs », insiste Laurent Heslaut. «  Il faut aussi qu'Adobe fasse un travail de sensibilisation, à l'image de ce que Microsoft a fait pour sa suite Office », ajoute Chaouki Bekrar.

Sollicité par la rédaction, Adobe n'a pas été en mesure de répondre à nos questions dans les délais, soit avant la publication de cet article. (Source 01 net).