Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 400
    Points
    148 400
    Par défaut Une faille de sécurité touche Internet Explorer et les PDF
    Une faille de sécurité touche Internet Explorer et les PDF
    Elle permet de collecter des informations sur la machine qui a édité le document


    Les PDF mis en ligne recèle plus d'informations qu'on ne le croit.

    Sans être une vulnérabilité critique, la faille qui vient d'être mise à jour reste néanmoins préoccupante.

    Jusqu'ici, lorsqu'un PDF était mis en ligne, son auteur pouvait décider de cacher les informations contenues dans l'en-tête et le pied de page. Ces informations concernent notamment le "chemin" (C:/Documents and settings/etc. ) de l'endroit ou se trouvait le PDF sur le disque local. Si l'on y prend garde, les noms d'utilisateurs (voire l'identité du créateur du document), le type d'OS employé, le nom d'un projet (si le PDF est dans un dossier portant ce nom), etc. peuvent rapidement devenir publics.

    On croyait que ces informations pouvaient toujours être camouflées via File -> Page Setup -> Pied de Page et modifier “URL” en “Empty”. Une fois cette modificationa apportée, les pieds de pages restent vides. Mais les informations sont toujours là.

    Et très facilement consultables.

    Il suffit d'imprimer le PDF avec Internet Explorer (même la version 8).

    Dans Windows, un simple clic-droit sur un document permet de lancer une impression... qui révèlera toutes les informations précédemment dissimulées. Il ne s'agit pas d'une impression papier mais nous ne donneront pas plus de détails sur le proof-of-concept qui permet d'y accéder

    Internet Explorer est impliqué dans cette faille dans la mesure où le menu contextuel s'appuie le navigateur (qui gère également l'affichage des fenêtres dans l'OS).

    Curieusement, seuls 20 % des PDF de la toile semblent exposés. Contacté par l'auteur de la preuve de faisabilité, Microsoft a confirmé qu'il travaillait sur cette anomalie.

    La seule parade, à ce jour, contre ces indiscrétions reste de suppriment manuellement ces informations en utilisant un éditeur de texte.

    De son coté, Adobe reste désespérément silencieux.

    Source : La Proof-of-Concept

    Lire aussi :

    Plus de 80% des utilisateurs toujours vulnérables aux récentes failles détectées dans les lecteurs Adobe

    Les rubriques (news, tutos, forums) de Developpez.com
    Sécurité
    Windows
    Développement Web

    Et vous ? :

    Que pensez-vous de l'attitude d'Adobe ?
    Allez-vous éditer vos PDF pour supprimer les "chemins" ou concidérez-vous qu'il s'agit d'une crise de paranoïa ?

  2. #2
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    septembre 2006
    Messages
    3 651
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : septembre 2006
    Messages : 3 651
    Points : 15 726
    Points
    15 726
    Par défaut
    Je les plains les développeurs de IE, ils doivent en avoir du boulot...
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  3. #3
    Inactif  
    Profil pro
    Inscrit en
    avril 2008
    Messages
    885
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 885
    Points : 1 289
    Points
    1 289
    Par défaut
    Ici IE n'est pas en cause, mais Adobe, pour laisser ce genre d'infos dans des pdf.
    *graou* et même *graou*, ou encore *graou*

  4. #4
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    septembre 2006
    Messages
    3 651
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : septembre 2006
    Messages : 3 651
    Points : 15 726
    Points
    15 726
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Microsoft a confirmé qu'il travaillait sur cette anomalie.
    Oui, j'ai bien compris.
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  5. #5
    Membre averti
    Avatar de chemanel
    Homme Profil pro
    Inscrit en
    janvier 2005
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2005
    Messages : 173
    Points : 449
    Points
    449
    Par défaut
    Microsoft travaille.... en collaboration avec Adobe

  6. #6
    Rédacteur

    Homme Profil pro
    Comme retraité, des masses
    Inscrit en
    avril 2007
    Messages
    2 978
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 79
    Localisation : Suisse

    Informations professionnelles :
    Activité : Comme retraité, des masses
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2007
    Messages : 2 978
    Points : 5 145
    Points
    5 145
    Par défaut
    Bonjour à tous.
    Est-ce qu'il n'y a pas un moyen très simple: mettre le fichier original sur un stick USB et retirer le stick après le transert sur le net?
    Jean-Marc Blanc
    Calcul numérique de processus industriels
    Formation, conseil, développement

    Point n'est besoin d'espérer pour entreprendre, ni de réussir pour persévérer. (Guillaume le Taiseux)

  7. #7
    Invité(e)
    Invité(e)
    Par défaut
    Bonjour,

    Cela concerne les PDF créés avec quel logiciel ? Sous quelle version ?

  8. #8
    Membre expérimenté Avatar de shkyo
    Homme Profil pro
    Développeur Robotique - Administrateur systèmes
    Inscrit en
    juin 2003
    Messages
    841
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Développeur Robotique - Administrateur systèmes

    Informations forums :
    Inscription : juin 2003
    Messages : 841
    Points : 1 459
    Points
    1 459
    Par défaut
    Citation Envoyé par entreprise38 Voir le message
    Ici IE n'est pas en cause, mais Adobe, pour laisser ce genre d'infos dans des pdf.
    Il n'y a pas que les .pdf, car il y a un certain temps (assez long...), j'avais lu dans l'excellent magazine "MISC" (sur la sécurité informatique pour info), que si tu passais les fichiers dans des éditeurs hexadécimaux, tu pouvais trouver beaucoup d'infos supplémentaires, comme les noms de créateurs, les modifs, des restes de copier-coller (!!!), etc...

    Je ne sais pas si c'est encore valable avec Office 2007, mais bon.
    L'homme sage apprend de ses erreurs, l'homme plus sage apprend des erreurs des autres. - Confucius -

    Ma (petite...) chaine Youtube : https://www.youtube.com/channel/UCy-...P2tH5UwOtLaYKw
    Si vous avez quelques minutes, passez donc voir mon site http://www.photospicsandco.fr/
    Envie de tee-shirts (et goodies!) originaux et sympa ? Visitez mon site... http://www.zazzle.com/shkyo30

  9. #9
    Membre chevronné
    Homme Profil pro
    Dév. Java & C#
    Inscrit en
    octobre 2002
    Messages
    1 410
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Dév. Java & C#
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : octobre 2002
    Messages : 1 410
    Points : 1 966
    Points
    1 966
    Par défaut
    Bonjour,

    je ne vois l'intérêt d'un telle information. Du moment où l'on télécharge un fichier, on peut l'examiner avec n'importe quel éditeur de texte (avec fonction hexadécimal) et que l'utilisateur connait le format du fichier.

    Même si certaines parties du document sont cryptées, il est assez simple de contourner...

    Par exemple, certains documents PDF ne sont autorisés à être imprimés...
    Bien le bonjour chez vous
    Jowo

  10. #10
    Futur Membre du Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2005
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2005
    Messages : 7
    Points : 9
    Points
    9
    Par défaut
    Je suis d'accord avec jowo:
    A partir du moment où l'utilisateur fournit délibérément les informations sensibles (j'entends par là qu'il met en ligne un fichier, pas forcément qu'il est conscient de tout ce qu'il contient), le logiciel permettant l'affichage n'a pas à être mis en cause dans la divulgation de ces mêmes informations ! Le seul problème réside dans le module qui réalise l'enregistrement.

    Sinon on en arrive très vite a des abbérations comme :
    "Une faille de sécurité touche les éditeurs hexadécimaux : ils peuvent lire le contenu des fichiers"

  11. #11
    Expert éminent
    Avatar de smyley
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 270
    Points : 8 350
    Points
    8 350
    Par défaut
    C'est vrai que j'ai du mal avec la tournure "il y a une faille dans IE parce qu'il permet de lire les informations contenues dans un PDF" ... (IE a quand même une histoire suffisamment lourde en faille pour ne pas encore lui en rajouter )

    D'ailleurs en principe ce n'est pas une faille non plus, mais une fuite si on veux. Une faille c'est plus dans l'idée que grâce à un exploit on peut arriver à s'infiltrer sur un PC et récupérer à l'insu du plein gré de l'utilisateur des informations sur lui.

    Là c'est l'utilisateur qui divulgue lui même (à l'insu de son plein gré aussi ceci dit) des informations à cause de problèmes avec le générateur de document PDF (qui est ? bah on sait pas )

  12. #12
    Membre émérite

    Homme Profil pro
    Justicier
    Inscrit en
    avril 2006
    Messages
    658
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 79
    Localisation : France

    Informations professionnelles :
    Activité : Justicier
    Secteur : Service public

    Informations forums :
    Inscription : avril 2006
    Messages : 658
    Points : 2 978
    Points
    2 978
    Billets dans le blog
    1
    Par défaut
    D'après ce que je comprends, IE doit quand même être blâmé car il affiche par défaut des informations qui devraient être cachées. Une correction est donc nécessaire.

    De plus, je n'ai pas essayé, mais je suppose que si on parle d'IE spécifiquement ici, c'est que par exemple sous Firefox le problème n'est pas reproductible.

    Le terme "faille" est sûrement un peu provocateur. Le vrai problème est le format PDF lui-même qui ne devrait pas stocker ce genre d'informations à l'insu du plein gré de son auteur.

  13. #13
    Expert éminent
    Avatar de smyley
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 270
    Points : 8 350
    Points
    8 350
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    D'après ce que je comprends, IE doit quand même être blâmé car il affiche par défaut des informations qui devraient être cachées. Une correction est donc nécessaire.
    ie.
    Faites attention : notepad, ultraedit, notepad++, vim, etc ont une faille car ils affichent par défaut toutes les informations d'un pdf. Il faut absolument les corriger.

    (d'ailleurs d'après l'article IE ne l'affiche pas par défaut mais permet de l'afficher via un moyen non décris)

  14. #14
    Membre émérite

    Homme Profil pro
    Justicier
    Inscrit en
    avril 2006
    Messages
    658
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 79
    Localisation : France

    Informations professionnelles :
    Activité : Justicier
    Secteur : Service public

    Informations forums :
    Inscription : avril 2006
    Messages : 658
    Points : 2 978
    Points
    2 978
    Billets dans le blog
    1
    Par défaut
    Cela y est, encore un amalgame, encore une exagération parce que j'ai osé faire un peu d'ombre à Internet Explorer. Cela devient fatigant.

    Il suffit d'imprimer le PDF avec Internet Explorer (même la version 8).
    J'en déduis donc, suivant la news, que l'utilisateur lambda a accès à ces informations sans avoir à les chercher. Donc problème dans IE, car il ne devrait pas les afficher.

    C'est largement différent du cas du fichier ouvert avec un éditeur hexadécimal ou autre. Ce n'est pas l'utilisateur lambda qui va ouvrir son PDF avec ce genre d'outils. La personne qui va le faire est en quête de ces informations, nécessairement, et va les retrouver, car elles sont disponibles. Il y a donc aussi un problème, mais différent. Il vient du fait que le PDF contient des informations qu'il ne devrait pas contenir.

    D'accord, corriger le deuxième problème corrige le premier problème par effet "boule de neige". Mais modifier un format standard est moins facile que modifier un logiciel client qui affiche trop d'informations.

  15. #15
    Expert éminent
    Avatar de smyley
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 270
    Points : 8 350
    Points
    8 350
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    Cela y est, encore un amalgame, encore une exagération parce que j'ai osé faire un peu d'ombre à Internet Explorer. Cela devient fatigant.
    Je précise que je n'utilise pas IE, cependant :

    Citation Envoyé par Chuck_Norris Voir le message
    J'en déduis donc, suivant la news, que l'utilisateur lambda a accès à ces informations sans avoir à les chercher.
    Citation Envoyé par Gordon Fowler Voir le message
    Il ne s'agit pas d'une impression papier mais nous ne donneront pas plus de détails sur le proof-of-concept qui permet d'y accéder
    Il faut donc quand même les chercher un peux.

    Citation Envoyé par Chuck_Norris Voir le message
    Donc problème dans IE, car il ne devrait pas les afficher.
    Pourtant ce n'est pas la faute à IE si ces informations sont présentes dans le fichier. Ce n'est quand même pas à IE de protéger la quantité d'informations que l'on peut retirer d'un PDF, c'est à Adobe ou aux outils qui génèrent le PDF.

    De plus, il n'est pas nécessaire d'avoir un éditeur d'hexa pour lire un pdf, vu qu'à la base un pdf est prévu pour être un fichier texte, donc on peut le lire avec notepad et avoir tout ce que l'on veux.

    Idem, je me demande si dans le cas d'une indexation via Google par exemple, ces informations sont elles aussi extraites. Mais même si c'était le cas, une fois de plus ce ne serait pas une faille ou un problème dans Google. Le problème est que trop d'informations sont incluses dans le PDF d'origine.

    D'ailleurs un autre élément marrant est que de toute façon IE ne sait pas lire de pdf (ni Firefox, ni Chrome). Il faut avoir Acrobat Reader d'installé sur la machine et c'est via ce module que le browser peut afficher le fichier pdf.
    Du coup j'en viens carrément à penser que l'information peut tout simplement être récupérée via le composant ActiveX de Acrobat Reader.

    Enfin, si on corrige le problème de la quantité d'information simplement en ne les affichant pas, c'est encore plus stupide que de les afficher car là on sait qu'il y a un problème, mais on se contente de dire "ah ben ça n'apparait pas donc osef". Non, c'est un faux problème. Le seul et unique vrai problème reste bien la quantité d'informations contenues dans un pdf, pas la manière de l'afficher car après tout maintenant qu'on le sait, rien n'empêche de faire un petit bot qui va scanner tous les pdfs et récupérer le contenu personnel. Et alors ? une faille de IE ? sans blague ...

Discussions similaires

  1. Microsoft dévoile une faille de sécurité dans Internet Explorer
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 13
    Dernier message: 06/05/2014, 18h27
  2. Réponses: 18
    Dernier message: 31/03/2010, 23h26
  3. Réponses: 5
    Dernier message: 29/07/2006, 01h35
  4. Forcer une page à s'ouvrir avec Internet Explorer
    Par alexbubs dans le forum Balisage (X)HTML et validation W3C
    Réponses: 7
    Dernier message: 31/10/2005, 11h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo