Adobe conseille de désactiver le JavaScript mais, devant ces problèmes récurrents, ne serait-ce pas temps de changer de lecteur de PDF ? Voir cet ancien billet, à propos de précédentes failles non comblées, qui décrit la marche à suivre et donne des liens vers les lecteurs concurrents.
L'exploit est activement exploité (oui, c'est pas beau) grâce à des milliers de sites Web nouvellement compromis. Le code a été publié dans le domaine public via un certain nombre de sites Web chinois.
Plutôt que d'appliquer la solution de contournement proposée, utilisez un meilleur navigateur comme le nouveau Firefox 3.5.
Pour mettre à jour Adobe Reader, allez dans le menu « Aide » puis « Rechercher les mises à jour… ». Pour Adobe Reader 9, c'est la version 9.1.2 qui est disponible.
]]>Mikko Hypponen, directeur des laboratoires de recherche de l'éditeur F-Secure, déconseille l'usage d'Adobe Reader. La recrudescence des attaques contre le lecteur de PDF est telle qu'il convient d'en changer.
Selon les statistiques de F-Secure, le nombre d'attaques ayant recours à l'utilisation du format PDF a été multiplié par 20 en un an. L'éditeur a recensé 2 305 fichiers infectés du 1er janvier au 15 avril 2009, contre seulement 128 l'an dernier à la même période. Un grand nombre d'attaques consiste à envoyer par e-mail en pièces jointes des fichiers PDF infectés ayant pour objectif le vol d'informations par une porte dérobée.
Sur PDFreaders.org, on trouve la liste des lecteurs de PDF libres. Personnellement, j'utilise Foxit Reader qui n'est pas libre mais gratuit. Il est beaucoup moins lourd qu'Adobe Reader et fait bien ce pourquoi il fait. Il dispose d'un plugin pour Firefox.
Ce n'est pas que ces lecteurs ne puissent pas être victimes de failles et même de fichiers PDF piégés adaptés pour eux depuis les failles découvertes dans l'Adobe Reader, mais que la probabilité de tomber sur un tel fichier est extrêmement moindre. Les auteurs de malwares cherchent la rentabilité pour leur créature. La diversité des lecteurs et leur faible part de marché respective sont un bon rempart contre l'exploitation des failles de sécurité des lecteurs PDF.
Dans la dernière partie de l'article, on en vient à reparler du problème de sécurité potentiel permanent que représente le code fermé de Windows et d'autres saillies consternantes sur nos « intelligences ». Ils n'ont alors plus besoin de la comparaison avec l'Amérique pour passer pour des bricolos :
En attendant, toute pionnière européenne qu'elle peut être en la matière, la France a encore de nombreux efforts à faire. Ainsi, Bernard Carayon a dénoncé à plusieurs reprises l'infodominance américaine que constitue le monopole de Microsoft, ne serait-ce qu'en termes de sécurité informatique. Alors qu'il en appelle à une utilisation accrue des logiciels libres, la majeure partie des PC militaires fonctionnent sous Windows, et l'on apprenait récemment que la 785e compagnie de guerre électronique faisait encore appel à Microsoft Windows, et Office. Cela n'aurait, en soi, rien que de très habituel si cette compagnie ne représentait pas « la composante expérimentale de la Guerre Electronique », chargée « d'assurer une veille technologique dans le domaine des télécommunications ».
La communication semble aussi poser quelques problèmes à la « grande muette » : le sous-site web du ministère de la Défense consacré à la DGSE est ainsi désespérément vide et le site (non officiel, mais truffé d'infos) que lui avaient consacré quelques passionnés a été fermé (sans que l'on arrive à savoir pourquoi) l'an passé. Dans son rapport, Bernard Carayon avançait ainsi qu'« il est invraisemblable que la Direction ne dispose toujours pas d'un site Internet propre, à l'instar de ses homologues étrangers, comme la CIA ou le Secret intelligence service britannique qui vient d'ouvrir son site internet : www.sis.gov.uk. Ces pudeurs, ou ces pusillanimités, restent incompréhensibles ».
La page officielle consacrée à la DRM propose quant à elle, en tout et pour tout, 6 lignes de présentation. En cherchant bien, on trouve bien, sur l'annuaire du site du Portail de l'armement, qui « a vocation à être un lieu d'échange et de travail pour l'ensemble de la communauté de défense française et européenne », et permet de se renseigner sur les appels d'offres, la fiche de la DRM, et quelques noms, et adresses. Mais si l'on veut lui écrire par e-mail, il faut le faire à des adresses en @laposte.net, pis : @yahoo.fr… La salle de consultations des marchés du ministère de la défense recense d'ailleurs 116 avis comprenant des e-mails en yahoo.fr. Imagine-t-on de voir les adresses e-mail de la NSA en @hotmail.com, ou @wanadoo.com ? Mais tout n'est pas perdu : dans son rapport, Yves Fromion avance en effet que « le programme du pôle national de cryptanalyse et de décryptement se poursuivra, avec l'acquisition de nouveaux moyens informatiques puissants (et que) la DGSE bénéficiera de la création de 20 postes, essentiellement destinés à accroître ses moyens de cryptologie. » Gageons qu'ils contribueront également à la sensibilisation des militaires aux rudiments de la sécurité informatique.
Vous n'avez rien compris ! C'est une couverture. Ils se font passer pour des amateurs afin d'endormir la vigilance de l'ennemi. C'est bien joué, non ?
Les title
dans les liens ont été complétés par moi.
J'ai bien aimé le communiqué de presse de Microsoft qui présente l'extension mondiale de la barrière et son caractère obligatoire comme une mesure de protection de ses clients. Mieux encore :
« Avec la sortie de WGA 1.0, Microsoft a réalisé un certain nombre de perfectionnements : La validation via WGA sera exigée pour tous les clients utilisant Windows Update, Microsoft Update pour contenu Windows et le centre de téléchargement (DC). »
C'est peut-être une amélioration technique, sûrement une amélioration pour la politique de Microsoft, mais pour le client que je suis, ce n'est absolument pas une amélioration de son expérience quotidienne. On veut encore plus fouiller dans son PC en lui imposant de nouvelles entraves et en plus ça n'arrête pas les pirates…
]]>Je pense qu'il en est de la sécurité un peu comme de l'hygiène : cela peut paraître une contrainte pour certains, mais cela doit faire partie des règles de vie et devient alors un réel progrès, source de bien être, de performance et d'efficacité. (…)
De nos jours, les informations que nous traitons dans le cadre de notre travail ont une valeur et celle-ci doit absolument être préservée. Mais il est indispensable de définir et d'expliquer ce besoin de sécurité à chacune des personnes concernées, car, comme on le dit souvent, la sécurité d'un système d'informations est comme la résistance d'une chaîne, elle est égale à la résistance de son maillon le plus faible. L'utilisateur est généralement qualifié de maillon le plus faible mais, bien préparé et informé, il peut en constituer un maillon étonnamment fort.