Secu
Ces formats de documents qui sont des trous dans la sécurité du SI
Par Laurent Delattre, publié le 02 octobre 2019
Une faille impossible à corriger dans PDF… L’OpenDocument format pris en cible par les cybers attaquants… Nos fichiers ne sont jamais aussi protégés qu’on ne le croit…
La même équipe de chercheurs qui avaient déjà découvert de graves vulnérabilités dans OpenPGP et dans le protocole de chiffrement des emails S/MIME vient de mettre en évidence un défaut de conception dans le format PDF qui permet de récupérer en clair les informations de fichiers PDF pourtant chiffrés. Pour exploiter cette faille, dénommée « PDFex », les chercheurs ont imaginé deux techniques d’attaque différentes et découvert que les 27 lecteurs PDF les plus populaires (y compris celui d’Adobe et les navigateurs Opera, Firefox et Chrome) étaient vulnérables à des degrés divers à au moins une de ces attaques.
Le chiffrement intégré au PDF est inefficace
Autrement dit, si vous utilisez le mécanisme de chiffrement interne propre à PDF, n’importe quel attaquant ayant récupéré le fichier peut aujourd’hui relativement aisément accéder à son contenu. Ce chiffrement intégré n’est donc pas la solution pour protéger les informations confidentielles de vos PDF. Mieux vaut opter pour un chiffrement externe des fichiers ou des mécanismes de gestion de droits tels qu’Azure Information Protection, Microsoft Information Protection, Proofpoint Information Protection, OpenText Content Suite, etc.
Les fichiers OpenDocument pris en cible
Parallèlement, les chercheurs de Cisco Talos ont de leur côté noté une recrudescence d’attaques portées au travers des documents au format ODT, le format natif de LibreOffice et OpenOffice également intégralement supporté par Microsoft Office. Il semble que les cybercriminels aient décidé de tester à large échelle différents mécanismes d’infection embarqués au sein de fichiers ODT afin d’évaluer si ce format était aussi largement surveillé par les « antivirus » que les formats .docx, .zip et .pdf ou si ces formats permettaient d’atteindre de plus haut taux d’infections réussies.
Microsoft bloque plus d’extensions sous Outlook Web
Dans le même temps, Microsoft a également annoncé cette semaine avoir enrichi de plus 40 extensions sa liste noire de formats de fichiers bloqués par défaut par l’interface d’Outlook On The Web (ex OWA). Désormais les fichiers Python, Java, PowerShell, ainsi que les certificats numériques (.cer, .crt, .der) ne peuvent plus être directement attachés en pièces jointes ou récupérés d’un email envoyé. Il était temps ! Il faudra passer par des liens vers des partages réseau ou par des archives pour les échanger par email. La liste des nouvelles extensions bloquées par défaut est disponible en suivant ce lien.
Certes les attaques les plus modernes s’orientent de plus en plus vers des malwares « fileless » (sans fichier) qui ne nécessitent pas d’amener l’utilisateur à télécharger d’une manière ou d’une autre un fichier et à l’exécuter. Le dernier rapport Trend Micro note une augmentation de 265% en un an de telles attaques. Toutefois, ces multiples actualités doivent encourager les RSSI et DSI à se réinterroger sur les limites intrinsèques des formats de fichiers, y compris ceux intégrant des mécanismes de protection par mots de passe comme les fichiers .zip bien trop aisément « craquables » mais aussi sur les menaces que ces fichiers (souvent de plus en plus complexes et riches en fonctionnalité) sont à même de véhiculer.
Sources :
PDF Insecurity – Practical Decryption exFiltration : Breaking PDF Encryption
Trend Micro – Mapping the Future: Dealing With Pervasive and Persistent Threats