Posté le octobre 2, 2019 à 17:38

DES CHERCHEURS RELÈVENT UNE FAILLE QUI PERMET AUX HACKERS D’ACCEDER AUX FICHIERS PDF CRYPTES

La cybersécurité est l’une des questions les plus importantes de ces dernières années, le monde étant de plus en plus tourné vers le numérique. Les gouvernements et les organismes de réglementation concernés s’efforcent constamment d’améliorer les lois relatives à la cybersécurité afin de protéger les citoyens contre les préjudices potentiels qui pourraient découler de piratages informatiques et d’autres formes de cyberattaques. Alors que l’on tente de rendre les espaces numériques plus sécurisés, les failles des systèmes existants sont exposées, et ce sont ces failles qu’il faut remédier.

Les documents PDF vulnérables aux piratages

Des chercheurs allemands ont révélé qu’ils ont découvert une technique permettant d’accéder au contenu de fichiers PDF cryptés ou protégés par mot de passe. La recherche a montré que les fichiers PDF ne sont pas aussi sécurisés que beaucoup d’utilisateurs l’auraient pensé, ce qui met en péril de nombreuses informations et données contenues dans les PDFs.

Des universitaires de l’Université des Sciences appliquées de Münster et de l’Université de la Ruhr de Bochum, toutes deux en Allemagne, ont publié un article qui décompose deux variations d’une attaque sur des fichiers PDF qui les ont exposés. Plus de 23 visionneuses PDF populaires ont été testées, et beaucoup d’entre elles se sont révélées sans défense contre cette attaque. Parmi les lecteurs de PDF impliqués, citons Evince, le lecteur de PDF intégré de Chrome et Adobe Acrobat Reader. Le document publié par les universitaires est intitulé Practical Decryption exFiltration: Breaking PDF Encryption.

New Paper: “Practical Decryption exFiltration: Breaking PDF Encryption“ describing new attacks that uncover the plaintext of encrypted PDFs. To be presented at @acm_ccs and joint work with @jensvoid @Murgi @v_mladenov @CheariX @JoergSchwenk. #PDFex 1/n pic.twitter.com/1LjaHijRGs

— Sebastian Schinzel (@seecurity) September 30, 2019

Les méthodes utilisées pour accéder aux documents PDF

La première des deux méthodes d’attaque découvertes par les chercheurs s’appelle PDFex. Elle s’attaque aux faiblesses du logiciel de cryptage standard, constitué de fichiers PDF intégrés. Il ne semble pas casser le mot de passe défini sur le document PDF, mais il exploite le cryptage partiel trouvé dans le PDF. L’exploitation de la faiblesse de ce cryptage partiel permet à PDFex d’exfiltrer le contenu véhiculé dans le document une fois que l’utilisateur légitime du PDF ouvre le fichier.

En principe, un attaquant peut s’assurer qu’une fois qu’un fichier PDF protégé par mot de passe est ouvert avec le bon mot de passe, une copie des informations contenues dans le document est automatiquement transmise à l’attaquant. Le hacker pourrait utiliser un serveur distant ou un code JavaScript auquel les données seront envoyées. L’attaquant mélange «cyphertexts» et «texte en clair», ce qui permet le chargement des ressources externes sur le PDF. Cet exfiltration direct des données n’exige aucune interaction avec l’utilisateur, qui le rend bien plus dangereux.

La deuxième méthode révélée par les chercheurs est similaire à la première, mais celle-ci utilise les parties chiffrées du document PDF. L’attaquant utilisera un processus de cryptographie appelé malléabilité pour transformer des éléments de ciphertext en un autre ciphertext. Pour ce faire, il utilise le mode Cipher Block Chaining (CBC).

Pour que le mode CBC fonctionne, l’attaquant doit connaître une partie du texte figurant dans le fichier PDF. En effet, pour chiffrer les données, le mode CBC utilise un mécanisme de chaînage. Chaque bit de texte en clair est lié au bloc de texte chiffré suivant. Cela permet ensuite à un hacker d’accéder aux données contenues dans le fichier PDF et de les manipuler, selon les chercheurs.

Protection des utilisateurs et des fournisseurs de lecteurs PDF

Les chercheurs ont communiqué leurs découvertes à tous les fournisseurs susceptibles d’être touchés par de telles attaques. Ils ont également mis à la disposition du public des démonstrations de preuve de concept sur les attaques PDFex. Pour ce groupe de chercheurs, le but ultime est que les utilisateurs de PDF utilisent ce type de document en toute sécurité et que les fournisseurs de services de visualisation de PDF aient une protection maximale de leurs logiciels.

L’équipe qui a travaillé à la recherche sur ces méthodes d’attaque a dit que plusieurs des formats de données largement utilisés permettent un cryptage partiel du contenu d’un fichier PDF. Cette méthode de cryptage permet à un attaquant de manipuler facilement le contenu du fichier et d’inclure ses propres données.  Cela permet à l’attaquant de créer des canaux d’exfiltration sur le document.

Pour ajouter une protection supplémentaire, les chercheurs ont déclaré que la prise en charge des fichiers PDF qui ne sont pas entièrement cryptés devrait être supprimée.  Les fournisseurs de visionneuses de PDF peuvent également mettre en œuvre des politiques qui garantissent que les fichiers non cryptés n’ont pas accès à des données cryptées. À long terme, ils proposent que la spécification PDF 2.x supprime complètement le contenu mixte.