Un « Zero day exploit » dans les PDF ?

Incroyable!

Tous les feeds d’information sur la sécurités ne parlent que de cela aujourd’hui.

Le lecteur de PDF le plus populaire (pour ne pas dire quasi exclusif), Abode Acrobat Reader, est frappé par la révélation de l’exploitation d’une faille  non signalé.

A force, j’ai fini par regarder de plus prés et finalement j’ai découvert au moins deux choses:

1- le blog du « Adobe Product Security Incident Response Team (PSIRT) » (): pour suivre l’actualité de la sécurité autour des produits Adobe. L’éditeur montre au moins que la sécurité est une de ces préoccupations. C’est dommage que ce blog ne propose pas de syndication…

On apprend ici qu’Acrobat et Acrobat Reader sont concernés par la faille dans les versions 9.1, 8.1.4, 7.1.1 (et plus récentes), et ce, quelque soit la plate-forme (les gens qui pensent être en sécurité avec un autre système d’exploitation que Windows vont être déçu). L’auteur du blog suggère une modification des paramétrages pour se protéger en attendant un correctif.

2- l’existence d’une section complète du support concernant la diffusion des bulletins de sécurité de l’éditeur (ici).  Même si ce n’est pas une surprise (tous les éditeurs un peu sérieux maintiennent ce genre de « rubrique »), je ne l’avais jamais encore visité…En plus la traduction française existe…

 

Donc face à ce problème quoi faire?

On peut choisir un logiciel alternatif… Ce n’est pas ce qui manque. Sur son blog F-secure donne notamment l’adresse d’un site permettant de choisir un lecteur alternatif pdfreaders.org.

Personnellement, je vais modifier mes réglages pour ne plus gérer de Javascript dans Acrobat Reader.

Comme les captures et explications trouvées sur le web sont en anglais, je vous fais une petite capture d’écran en Français.

 

donc la manip consiste à aller dans « Edition » puis « Préférences »

pdf_js01

Puis on désactive la prise en charge de JavaScript

pdf_js02

 

Maintenant reste plus qu’ à ne pas oublier de le réactiver quand le correctif aura été appliqué (c’est pas gagné)

Echanger avec Box.net

Pour répondre à la question précédente (« Comment savoir la garantie qu’un mail a été lu?),  je vous propose de découvrir un premier service de travail collaboratif en ligne box.net, et son utilisation pour tracer des échanges de documents. 

Ce service est très simple et sa traduction en français est « presque  » complète

 L'interface de box.net

 

Dans mon exemple, je veux transmettre un fichier PDF à un tiers  sans risque qu’il accède à mes autres documents partagés et sans que mes autres contacts ne soient avisés de cet échange.

Je commence par créer un dossier spécifique et je le partage qu’avec ce contact

box2

 

Mon contact reçoit alors un premier mail que je l’invite à participer à ce dossier. Je peux ici autoriser mon « invité »  en lecture seule ou pas. Il doit alors accepter cette invitation, s’il n’a pas encore de compte, il pourra alors en créer un.

En attendant son accord, je télécharge mon fichier dans ce dossier avec la fonction « Uploader ».

  Tres tres bons ebook! je vous le conseille ;-)

 
  Je vous conseille en passant cette excellent ebook!

 On va pouvoir activer le partage en cliquant simplement sur « partager »

box90

 

La plateforme va alors envoyé un email à mon collaborateur (et à moi-même) l’informant de la présence de ce nouveau fichier. Il pourra alors y accéder, le commenter, …

Mais plus intéressant pour nous, dès qu’il aura téléchargé ce fichier nous recevrons un mail  de confirmation. Cette information se retrouve aussi sur notre tableau de bord en ligne

box97

C’est une utilisation un peu détournée du produit mais c’est plutôt simple et efficace. Je vous laisse découvrir les autres fonctionnalités par vous même mais sachez qu’il est possible d’inclure des signatures numériques.

J’avais listé les principales fonctions attendues

1- disponibilité et intégrité des données échangés -> ici c’est au moins aussi garanti qu’avec un simple mail…

2- confidentialité des échanges -> les autres « collaborateurs » ne voient rien de cet échange, la garantie est au moins égale à celle d’un échange par mail.

3- La date d’émission comme de réception sont incontestables -> le système envoi automatiquement des mails sans action de l’utilisateur et quelques soient les réglages de sa messagerie. C’est donc bien supérieur aux mails

4- L’accès aux données est protégé -> la protection par mot de passe n’est pas beaucoup plus sécurisée que celle des mails. Les échanges ne sont pas chiffrés que pour un abonnement professionnel (et payant)

 

Dans la mesure ou le destinataire doit faire la démarche d’aller télécharger le document, il ne peut pas contester la réception.

Bien sûr, vous ne pourrez plus le « forcer » à recevoir quelque chose contre sa volonté.  Mais, est-ce vraiment un problème ?

Par les temps imbéciles qui courent, un dernier rappel s’impose pour vos échanges de fichiers:

Ne piratez pas!

Le fait de payer des taxes sur les médias et autres mémoires n’est pas une excuse …