IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des chercheurs ont réussi à briser des signatures numériques de documents PDF


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 298
    Points
    66 298
    Par défaut Des chercheurs ont réussi à briser des signatures numériques de documents PDF
    Des chercheurs ont réussi à briser des signatures numériques de documents PDF
    de 21 des visionneuses PDF les plus connues

    Dans ce qu’il présente comme résumé de plus de cinq mois de travail, Von Vladislav Mladenov, un des membres de l’équipe de l’université de Ruhr en Allemagne a annoncé que lui et ses compagnons ont réussi à percer le système de signature numérique de visionneuses de documents PDF très connues. Il explique qu’ils sont arrivés à créer de fausses signatures numériques sur 21 des 22 lecteurs PDF de bureau et également sur 6 des 8 systèmes de validation en ligne évalués. Parmi les nombreuses applications de bureau figurent Adobe Acrobat Reader, Foxit Reader, LibreOffice, etc., et dans le rang des services en ligne on retrouve DocuSign ou encore Evotrust, pour les plus connus.

    Rappelons-le, la signature numérique d’un document (parfois appelée signature électronique) est un mécanisme permettant de garantir l'intégrité d'un document électronique et d'en authentifier l'auteur, par analogie avec la signature manuscrite d'un document papier. Un mécanisme de signature numérique doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa signature (propriété d'identification) et garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte (propriété d'intégrité). Pour cela, les conditions suivantes doivent être réunies :

    • authentique : l'identité du signataire doit pouvoir être retrouvée de manière certaine ;
    • infalsifiable : la signature ne peut pas être falsifiée. Quelqu'un ne peut se faire passer pour un autre ;
    • non réutilisable : la signature n'est pas réutilisable. Elle fait partie du document signé et ne peut être déplacée sur un autre document ;
    • inaltérable : un document signé est inaltérable. Une fois qu'il est signé, on ne peut plus le modifier ;
    • irrévocable : la personne qui a signé ne peut le nier.

    Ces principes de sécurité sont très stricts lorsqu’on veut porter sa signature sur un document, car un tel document est admissible en justice c’est-à-dire qu’il possède une valeur légale. Un document signé peut également être utilisé par un gouvernement pour faire passer un message, dans une transaction financière, pour faire des déclarations fiscales, etc. De grandes sociétés de ventes ou de locations telles qu'Amazon ou Sixt utilisent régulièrement la signature numérique pour protéger et empêcher les modifications des factures qu’elles envoient à leurs clients. En pratique, l'essentiel des procédures de signature numérique existantes s’appuie sur la cryptographie asymétrique. Du point de vue théorique la résistance du dispositif de chiffrement va dépendre de la force du chiffrement asymétrique retenu et de la taille des clés choisies. Les normes en œuvre sont généralement considérées comme mathématiquement sûres.

    Seulement, du point de vue pratique, la signature numérique reste soumise au problème de la diffusion/authentification de la clé publique. Ce problème est en général résolu par la mise en place d'une infrastructure à clés publiques, entraînant toutes les vulnérabilités inhérentes à ce type de dispositif. Une autre chose est que la signature numérique est une authentification faible, car elle s'appuie uniquement sur un facteur mémoriel, en l’occurrence la clé privée. Si celle-ci est compromise, l'attaquant pourra produire des messages frauduleux théoriquement complètement indiscernables des messages légitimes. Alors, vous imaginez ce qu’il se passerait si la signature numérique d’un document venait à être usurpée. Cela dit, il est clair que les risques seront inévitablement catastrophiques pour le véritable signataire du document. L’usurpateur peut le contraindre à réaliser des choses dont il ne sera pas forcément fier en proférant des menaces. Le document peut lui servir à voler de l’argent ou une chose quelconque, ou encore il peut décider de mettre un désordre dans les affaires du vrai signataire.

    Nom : vim.png
Affichages : 3756
Taille : 51,8 Ko

    Dans le rapport qu’ont présenté les universitaires, ils expliquent avoir trouvé au cours de leurs recherches trois nouvelles vulnérabilités ou attaques qu’ils présentent à tour de rôle. Dans un premier temps, ils parlent de l’attaque Universal Signature Forgery (USF) ou falsification de signature universelle. Cette attaque vise principalement à manipuler les méta-données de la signature de manière à ce que l'application de visualisation ciblée ouvre le fichier PDF, trouve la signature, mais ne trouve pas toutes les données nécessaires à sa validation. Au lieu de traiter les informations manquantes comme une erreur, cela indique que la signature contenue est valide. Par exemple, l'attaquant peut manipuler les valeurs Contents ou ByteRange au sein de l'objet Signature.

    L’équipe a précisé que l'attaque semble anodine, mais même de très bonnes implémentations telles qu'Adobe Reader DC empêchant toutes les autres attaques étaient susceptibles contre USF. La seconde dont ils parlent est nommée Attaque de Sauvegarde Incrémentielle (ISA). Ils expliquent que l'attaque par enregistrement incrémentielle (ISA) abuse d'une fonctionnalité légitime de la spécification PDF. C’est une spécification qui permet de mettre à jour un fichier PDF en ajoutant des modifications. L’idée principale de l’ISA est d’utiliser la même technique pour modifier des éléments, tels que des textes, ou des pages entières incluses dans le fichier PDF signé en fonction des souhaits de l’attaquant. En d'autres termes, un attaquant peut redéfinir la structure et le contenu du document en utilisant la partie Body Updates.

    Enfin, la toute dernière vulnérabilité dont il s’agit est Signature Wrapping Attacks (SWA). Indépendamment des fichiers PDF, l'idée principale de Signature Wrapping Attacks est de forcer la logique de vérification à traiter des données différentes de celles de la logique d'application. Dans les fichiers PDF, SWA cible la logique de validation de signature en déplaçant le contenu signé à un emplacement différent dans le document et en insérant un nouveau contenu à l'emplacement attribué. Le point de départ de l'attaque est la manipulation de la valeur ByteRange qui permet de déplacer le contenu signé vers différentes positions du fichier.

    Vous pouvez avoir accès à plus d’informations sur le sujet en parcourant le site de présentation. Néanmoins, il serait bien de noter que l’équipe a reconnu que des correctifs de sécurité et de mise à jour ont été déployés et publiés par les éditeurs respectifs des logiciels testés avant que les résultats de ladite étude ne soient soumis à la communauté. « En coopération avec BSI-CERT, nous avons contacté tous les fournisseurs, leur avons fourni des exploits de validation de concept et les avons aidés à résoudre les problèmes. Trois CVE génériques ont été publiés pour chaque classe d'attaque », a précisé l’équipe.

    Source : Billet de blog

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi

    Gartner : les dépenses en sécurité vont dépasser 124 milliards de $ en 2019 à cause des risques de sécurité et les changements en industrie

    Les meilleurs cours et tutoriels pour apprendre la sécurité informatique mise à jour avec 69 nouvelles publications

    Une faille de sécurité dans X.org affecte les distributions Linux et BSD elle permet à un attaquant d'obtenir un accès root depuis un terminal

    Les conteneurs du DevOps présentent-ils des risques pour la sécurité de vos données ? Oui, selon une étude

  2. #2
    Membre expérimenté

    Homme Profil pro
    Retraite
    Inscrit en
    Octobre 2005
    Messages
    485
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 485
    Points : 1 365
    Points
    1 365
    Billets dans le blog
    1
    Par défaut
    Très intéressant c'est un des sujets dans l'imprimerie que l'on sait posé au sujet de falsification des documents électronique , et qui bien sur nous rassuraient sur l'avenir de certain documents papiers ..... mais là n'est pas le sujet. pour palier à ce genre de problème sur des documents à court terme on a trouvé des solutions en rendant le papier intelligent.....

  3. #3
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 136
    Points
    23 136
    Par défaut
    Citation Envoyé par Bill Fassinou Voir le message
    Une autre chose est que la signature numérique est une authentification faible, car elle s'appuie uniquement sur un facteur mémoriel, en l’occurrence la clé privée.
    Heu… non.

    La clé privée n'est pas un facteur mémoriel.
    On ne s'amuse pas à retenir une clé de 64 caractère (base 16), et heureusement.



    Pour les attaques, elles semblent principalement venir d'erreurs d'implémentations.

  4. #4
    Membre du Club
    Profil pro
    Inscrit en
    Mai 2008
    Messages
    49
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2008
    Messages : 49
    Points : 64
    Points
    64
    Par défaut
    Pas de soucis, la blockchain a la rescouse !

Discussions similaires

  1. Des chercheurs ont réussi à contourner la technologie Face ID de l'iPhone X
    Par Stéphane le calme dans le forum Développement iOS
    Réponses: 10
    Dernier message: 15/11/2017, 19h42
  2. [Débutant] Gestion des signatures numériques
    Par jdajdl dans le forum InfoPath
    Réponses: 0
    Dernier message: 19/02/2016, 08h57
  3. inserer des signature numerique dans un pdf generé par php5
    Par reporting_layal dans le forum Langage
    Réponses: 0
    Dernier message: 25/12/2014, 22h35
  4. Automatiser des signatures numériques
    Par Alx950 dans le forum Général Java
    Réponses: 27
    Dernier message: 21/05/2014, 14h38
  5. Technique des signatures numériques de fichiers système
    Par bruce-willis dans le forum Windows
    Réponses: 2
    Dernier message: 22/07/2008, 16h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo