Étiquette : expert

Un « Zero day exploit » dans les PDF ?

Incroyable!

Tous les feeds d’information sur la sécurités ne parlent que de cela aujourd’hui.

Le lecteur de PDF le plus populaire (pour ne pas dire quasi exclusif), Abode Acrobat Reader, est frappé par la révélation de l’exploitation d’une faille  non signalé.

A force, j’ai fini par regarder de plus prés et finalement j’ai découvert au moins deux choses:

1- le blog du « Adobe Product Security Incident Response Team (PSIRT) » (): pour suivre l’actualité de la sécurité autour des produits Adobe. L’éditeur montre au moins que la sécurité est une de ces préoccupations. C’est dommage que ce blog ne propose pas de syndication…

On apprend ici qu’Acrobat et Acrobat Reader sont concernés par la faille dans les versions 9.1, 8.1.4, 7.1.1 (et plus récentes), et ce, quelque soit la plate-forme (les gens qui pensent être en sécurité avec un autre système d’exploitation que Windows vont être déçu). L’auteur du blog suggère une modification des paramétrages pour se protéger en attendant un correctif.

2- l’existence d’une section complète du support concernant la diffusion des bulletins de sécurité de l’éditeur (ici).  Même si ce n’est pas une surprise (tous les éditeurs un peu sérieux maintiennent ce genre de « rubrique »), je ne l’avais jamais encore visité…En plus la traduction française existe…

 

Donc face à ce problème quoi faire?

On peut choisir un logiciel alternatif… Ce n’est pas ce qui manque. Sur son blog F-secure donne notamment l’adresse d’un site permettant de choisir un lecteur alternatif pdfreaders.org.

Personnellement, je vais modifier mes réglages pour ne plus gérer de Javascript dans Acrobat Reader.

Comme les captures et explications trouvées sur le web sont en anglais, je vous fais une petite capture d’écran en Français.

 

donc la manip consiste à aller dans « Edition » puis « Préférences »

pdf_js01

Puis on désactive la prise en charge de JavaScript

pdf_js02

 

Maintenant reste plus qu’ à ne pas oublier de le réactiver quand le correctif aura été appliqué (c’est pas gagné)

Comment savoir la garantie qu’un mail a été lu?

Devant  le nombre croissant de mails que je reçois avec une demande de confirmation de lecture, les gens doutent de la fiabilité du fonctionnement des mails.

Effectivement, autant il est assez simple de voir si un mail est arrivé sur le serveur de destinataire, autant on peut difficilement être certain que ce mail a été lu.

 

Ces agaçantes notifications de lecture ne prouvent rien et ne sont pas fiables pour au moins 2 raisons :

1-     tous les clients de messageries ne gèrent pas ces notifications de la même manière

2-     souvent l’utilisateur a le choix de répondre qu’il ne l’a pas lu

 

Professionnellement, je modifie les réglages pour ignorer simplement les accusés de réception ou de lecture ! La raison est simple : ce n’est pas parce que j’ai ouvert un mail que je l’ai lu et assimilé son contenu.  

 

Mais je reconnais que les échanges électroniques remplacent de plus en plus ceux par courrier postaux, et la question d’une certaine traçabilité peut se poser dans de nombreux cas (comme pour des contrats par exemple). 

 

A priori la solution devrait proposer au moins les fonctionnalités suivantes :

 

–         Bien entendu, la disponibilité et l’intégrité des données échangées. 

–         l’existence de l’échange ne doit être connue des seules destinataires (et de l’émetteur)

–         la date des opérations comme l’envoi ou la réception doivent être incontestable.

–         l’accès aux données doit être protégé

 

 

Il existe finalement pas mal de solutions répondant à ces fonctionnalités,  je vous ferai découvrir dans les prochaines semaines celles que j’ai pu tester. Ce sera l’occasion de répondre au  commentaire de Hépha sur le travail collaboratif.