Adobe Acrobat : déjà corrigée, une faille dans l’extension Chrome confirme les craintes
Halte aux installations automatiques
Le 19 janvier 2017 à 10h30
3 min
Internet
Internet
La semaine dernière, Adobe forçait pratiquement les utilisateurs d’Acrobat à se servir de son extension Chrome. Le danger ne sera pas resté potentiel bien longtemps : une faille de sécurité y est présente.
Comme nous l’avions indiqué dans notre article, le fait de forcer une installation comporte essentiellement deux problèmes. D’une part, la négation du choix, qui conduit l’utilisateur à ne plus faire confiance. D’autre part, l’accroissement du danger en cas de faille de sécurité. Malheureusement, il y a bien un problème.
Ce qui devait arriver arriva
Il a été découvert par le chercheur Tavis Ormandy du Project Zero. Ce dernier est pour rappel une initiative de Google qui vise à découvrir et répertorier les failles de type 0-day pour y remédier aussi rapidement que possible. La politique est d’ailleurs stricte : l’éditeur concerné n’a que 10 à 90 jours pour proposer une solution, selon la dangerosité du problème découvert. Dans le cas présent, Adobe disposait de 90 jours.
L’éditeur a en effet réagi très rapidement : en quelques heures, le problème était résolu, comme indiqué dans la (courte) conversation qui s’en est suivie. Il était indiqué dans la description que le bug ne pouvait sans doute pas autoriser directement une attaque de type cross-site scripting, à cause de la Content Security Policy. Le contournement ne semblait cependant pas complexe à mettre en œuvre et le risque était donc réel, même si la faille n’était pas considérée comme critique.
Une simple question de surface d'attaque
Le problème toutefois, même s’il ne représentait pas un risque majeur, existait bel et bien, prouvant le danger inhérent d’un composant dont l’installation est forcée, ou tout du moins poussée de manière à ce que l’utilisateur accepte ou laisse faire. Or, comme l’indique Tavis Ormandy, l’extension avait déjà été installée plus de 30 millions de fois. Bien sûr, l’inclusion dans Acrobat Reader n’est pas directement responsable de ce chiffre, mais elle y a contribué.
C’est une simple question de surface d’attaque : plus on installe de logiciels, d’extensions et de composants, plus on risque l’exposition à une attaque. Ce risque suit de manière logique l’évolution de la quantité de code présent sur la machine. L’erreur étant humaine, aucune application ne peut se targuer d’être exempte de problèmes, qui peuvent devenir des failles de sécurité.
Le dernier mot
Il est assez complexe de sensibiliser les utilisateurs aux vertus des installations minimales. Le comportement des éditeurs peut faire toute la différence, non seulement sur la considération qu’ils ont de la sécurité en général, mais également dans la manière dont ils présentent leurs propres solutions. Se servir d’une installation pour en provoquer une autre n’est jamais une bonne idée. La question devrait être toujours posée en amont à l’utilisateur, qui doit avoir le dernier mot.
Adobe Acrobat : déjà corrigée, une faille dans l’extension Chrome confirme les craintes
-
Ce qui devait arriver arriva
-
Une simple question de surface d'attaque
-
Le dernier mot
Commentaires (51)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/01/2017 à 13h53
En fait c’est le module Éditer, qu’il faut payer.
Le 19/01/2017 à 13h54
eh eh, Evince fonctionne très bien, pour une page Inkscape aussi d’ailleurs. Je ne remplis pas les Cerfa avec Adobe.
Le 19/01/2017 à 13h55
Et Okular ?
Le 19/01/2017 à 14h07
Cela fait belle lurette qu’Acrobat a quitté mon PC. Depuis, j’ai adopté et n’ai jamais quitté PDF XChange Viewer : outre sa rapidité, il permet de remplir les formulaires et d’annoter gratuitement les fichiers (avec zones de texte, images, formes géométriques, post-it, etc.).
Le 19/01/2017 à 14h32
Non plus, de ce que j’ai pu lire, ce serait du aux formulaires à remplir ou à la signature Adobe. Ce que j’ai trouvé de plus pertinent :
https://forum.ubuntu-fr.org/viewtopic.php?pid=18275111#p18275111 Edit : okular m’a donné la reponse : This document has XFA forms, which are currently unsupported.
Le 19/01/2017 à 14h38
Tiens
" /> tu es pour le fichage ?
" />
hum ..c’est bien ce que je pensais.
Le 19/01/2017 à 14h57
Le 19/01/2017 à 15h11
Le 19/01/2017 à 15h39
Merci, pour l’édition c’est très anecdotique (virer les bandeau de pub sur les pdf de billets tgv/spectacle à imprimer par ex.)
j’essaierais ces alternative rapidement :)
Le 19/01/2017 à 15h40
Là je crois que tu es tombé sur un formulaire bien pourri. J’en ai rempli des tas, notamment dernièrement déclaration de perte de carte d’identité sans problème et sans Acrobat.
Faudrait faire remonter l’info aux administrations concernées car c’est tout simplement inadmissible.
Je suggère d’ailleurs que toutes les personnes qui ont eu un problème avec ce genre de formulaire le signale.
Pour bien faire, il faudrait pouvoir réunir tout ça quelque part.
Le 19/01/2017 à 16h28
Foxit Reader 6.04 (oui c’est une version un peu ancienne maintenant) y parvient sans soucis. Mais le lecteutr intégré à Firefox (pdf.js) n’y parvient pas.
Le 19/01/2017 à 16h59
Pour lire les PDF,j’utilise sumatra pdf qui est vraiment léger et très rapide !
Le 19/01/2017 à 17h42
Vivement que le cancer nommé adaube n’existe plus !
" />
Le 19/01/2017 à 17h57
Yes perso foxit reader est vraiment génial. Pour annoter remplir des formulaires meme imprimer en pdf (moins util maintenant )
Le 19/01/2017 à 19h44
Ah existe sous windows aussi ! Parfait ça à tester.
Le 20/01/2017 à 09h32
Ni Sumatra
Le 20/01/2017 à 09h55
En remplacement vous pouvez essayer Nitro Reader. Il y a une version gratuite et une version Pro payante.
Perso j’utilise la gratuite. Léger, on peut remplir des formulaires, mettre des annotations, surligner du texte.
Pour moi il est parfait.
Le 20/01/2017 à 11h11
Je suis bien d’accord et en tant que dev web je me suis dit je vais faire remonter ça quand même, du coup je regarde contact sur leur site, c’est uniquement pour contacter le service qui gère les dossier et non pas le webmaster, si j’envoie a une secrétaire un bugfix sur un cerfa, je pense qu’elle va bugger…! En tout cas merci des tes conseils, je tenterais de remnter ca !
Le 20/01/2017 à 12h07
Je vais en parler à l’April, que penses-tu d’un Framapad où tout le monde pourrait déposer les liens et des remarques vers ce genre de formulaires ?
Le 20/01/2017 à 12h36
Super idée avec Frama en plus, je roule ! 
" />
Le 20/01/2017 à 13h59
C’est fait : courriel envoyé à l’April, liste sensibilisation et framapad ouvert :
https://annuel.framapad.org/p/Pdf_pourris
Le 20/01/2017 à 17h52
Le 21/01/2017 à 23h00
Le 24/01/2017 à 22h02
Sur le fond. Un tel dossier peut toujours être détourné, mais il existe quelques garde-fous assez simples qui permettraient de déjà largement limiter les risques. Notamment, il est assez facile de se prémunir contre des extractions massives.
Quelques idées en vrac, mais ce n’est pas mon métier, il en manque certainement :
Les gens ayant conçu ce système n’étant pas stupides, je suppose qu’une partie au moins de ces idées est déjà implémentée.
Le 19/01/2017 à 10h30
Excellente nouvelle !
Le 19/01/2017 à 10h36
c’est un euphémisme car forcer l’installation d’un logiciel au détriment de l’utilisateur se rapproche plutôt du foutage de gueule ?
Le 19/01/2017 à 10h57
… le problème des cases pré cochées est une véritable plaie, il y en a partout, sans parler des “options” activées par défaut et même à l’insu du client …
" />
" />
http://sosconso.blog.lemonde.fr/2015/11/13/internet-attention-a-lactivation-par-…
Par ex, les rares fois où je vais sur mon compte Gmail poubelle, celui que j’utilise pour les commandes sur le net ou l’inscription à des forums, au moment de saisir le mot de passe, la case “rester connecté” est pré cochée, avec comme “justificatif”:
“pour plus de facilités” …
Ben voyons …
Encore plus fort, le fichage par le pharmacien à l’insu total du client …!
http://sosconso.blog.lemonde.fr/2015/11/04/etes-vous-fiche-par-votre-pharmacien/
Le 19/01/2017 à 11h22
Le 19/01/2017 à 11h25
Heureusement, j’ai réussi à la supprimer sur l’ordinateur du boulot. Déjà qu’on est obligé d’utiliser ce logiciel :/
Le 19/01/2017 à 11h30
C’est clair qu’Okular est par exemple infiniment plus léger…
Le 19/01/2017 à 11h52
Il existe quoi comme alternative pour lire / modifier un PDF ?
" />
Vrai question, je n’ai jamais creusé le sujet et des années de patch sur patch sur patch sur les faille + la tentative de forçage pour mcAfee à chaque mise à jour est venue a bout de la maigre confiance qu’il me restait.
Merci
Le 19/01/2017 à 11h59
Limite j’avais cru que j’avais un virus avec cette installation (que je refusais systématiquement). Quand j’ai vu que ça arrivait sur des postes différents, je me suis dit que Google marchait sur la tête tant cette extension est inutile.
Mais je vois qu’en fait, c’est de l’initiative Adobe et là, je ne comprends pas que Chrome tolère ça peu importe la situation. La tentative d’installation d’une extension sur Chrome sans le consentement de l’utilisateur, ça me laisse pantois. Alors certes, Chrome demande ce consentement, mais je mets mes deux mains à couper que des pelletées d’utilisateurs se sont fait avoir et ont accepté l’installation tant le message de Chrome est simpliste sur le sujet (notamment, il ne met pas en avant la source de la proposition d’installation)
Le 19/01/2017 à 12h00
Le 19/01/2017 à 12h36
Le 19/01/2017 à 12h40
Super article merci ! Les deux derniers paragraphes ne seraient-ils pas cités dans la bible ?? (informatique hein !)Ce logiciel est une calamité, j’espère sa mort la plus rapide possible ! C’est même une horreur sous linux car un pdf signé par Acrobat, et on peu plus rien faire sans adobe, donc windows… C’est encore mieux quand il s’agit d’un document administratif…. 
" />
Le 19/01/2017 à 12h47
C’est une sorte de ventre forcée en fait. Sauf que là, il n’y a pas de vente.
Le 19/01/2017 à 12h49
Le 19/01/2017 à 12h51
Et dans le cas typique de la pharmacie, pour les traitements aux longs cours cela peut rendre les choses plus faciles.
Le 19/01/2017 à 12h52
Le 19/01/2017 à 12h54
Le 19/01/2017 à 12h56
J’ai eu besoin d’un document administratif il n’y a pas longtemps, obligé de retrouver une VM sous Windows pour pouvoir ne serais-ce que le lire…! Sinon sans ça, je m’en sort plutôt bien sans également !
Un exemple : http://www.cnsa.fr/documentation/cerfa_13788-01.pdf
Le 19/01/2017 à 12h58
Pour lire seulement et pour Windows, c’est un vrai bonheur : sumatra pdf.
Léger, libre et permet de remplir des formulaires : evince.
Pour modifier : Pdf architect avec l’extension ad hoc (pas très chère).
Pour modifier Draw de LibreOffice mais le rendu n’est pas parfait, ou encore Inkscape, mais on ne peut ouvrir qu’une page du document.
Il y a aussi FoxIt reader, qui permet aussi d’annoter.
Pour linux, on a le merveilleux Okular.
Bref, on peut vivre sans Adobe.
Le 19/01/2017 à 13h00
Le 19/01/2017 à 13h05
Moi j’ai pas adobe et je n’y arrive pas. :)
Le 19/01/2017 à 13h06
Le 19/01/2017 à 13h06
quel est cette extension adhoc ?
Le 19/01/2017 à 13h13
pdf xchange viewer = “Supported Operating Systems: Windows XP or later*”
" />
Donc pour ma Debian c’est mort ! Vraiment j’ai cherché pas mal, avant que le temps de recherche ne devienne supérieur au temps de retrouver et démarrer ma VM, ce que j’ai fini par faire !
Le 19/01/2017 à 13h23
Le 19/01/2017 à 13h24
Le 19/01/2017 à 13h31
Toujours pareil !
“To view the full contents of this document, you need a later version of the PDF viewer. You can upgrade
to the latest version of Adobe Reader from www.adobe.com/products/acrobat/readstep2.html
For further support, go to www.adobe.com/support/products/acrreader.html”
Edit : je précise ce sont des pdf signés par adobe
Le 19/01/2017 à 13h35
PDF XChange Editor gratuit semble très bien et ouvre parfaitement ces saloperies de Cerfa adaptés uniquement à Acrobat.