La semaine dernière, Adobe forçait pratiquement les utilisateurs d’Acrobat à se servir de son extension Chrome. Le danger ne sera pas resté potentiel bien longtemps : une faille de sécurité y est présente.
Comme nous l’avions indiqué dans notre article, le fait de forcer une installation comporte essentiellement deux problèmes. D’une part, la négation du choix, qui conduit l’utilisateur à ne plus faire confiance. D’autre part, l’accroissement du danger en cas de faille de sécurité. Malheureusement, il y a bien un problème.
Ce qui devait arriver arriva
Il a été découvert par le chercheur Tavis Ormandy du Project Zero. Ce dernier est pour rappel une initiative de Google qui vise à découvrir et répertorier les failles de type 0-day pour y remédier aussi rapidement que possible. La politique est d’ailleurs stricte : l’éditeur concerné n’a que 10 à 90 jours pour proposer une solution, selon la dangerosité du problème découvert. Dans le cas présent, Adobe disposait de 90 jours.
L’éditeur a en effet réagi très rapidement : en quelques heures, le problème était résolu, comme indiqué dans la (courte) conversation qui s’en est suivie. Il était indiqué dans la description que le bug ne pouvait sans doute pas autoriser directement une attaque de type cross-site scripting, à cause de la Content Security Policy. Le contournement ne semblait cependant pas complexe à mettre en œuvre et le risque était donc réel, même si la faille n’était pas considérée comme critique.
Une simple question de surface d'attaque
Le problème toutefois, même s’il ne représentait pas un risque majeur, existait bel et bien, prouvant le danger inhérent d’un composant dont l’installation est forcée, ou tout du moins poussée de manière à ce que l’utilisateur accepte ou laisse faire. Or, comme l’indique Tavis Ormandy, l’extension avait déjà été installée plus de 30 millions de fois. Bien sûr, l’inclusion dans Acrobat Reader n’est pas directement responsable de ce chiffre, mais elle y a contribué.
C’est une simple question de surface d’attaque : plus on installe de logiciels, d’extensions et de composants, plus on risque l’exposition à une attaque. Ce risque suit de manière logique l’évolution de la quantité de code présent sur la machine. L’erreur étant humaine, aucune application ne peut se targuer d’être exempte de problèmes, qui peuvent devenir des failles de sécurité.
Le dernier mot
Il est assez complexe de sensibiliser les utilisateurs aux vertus des installations minimales. Le comportement des éditeurs peut faire toute la différence, non seulement sur la considération qu’ils ont de la sécurité en général, mais également dans la manière dont ils présentent leurs propres solutions. Se servir d’une installation pour en provoquer une autre n’est jamais une bonne idée. La question devrait être toujours posée en amont à l’utilisateur, qui doit avoir le dernier mot.
Commentaires (51)
Excellente nouvelle !
c’est un euphémisme car forcer l’installation d’un logiciel au détriment de l’utilisateur se rapproche plutôt du foutage de gueule ?
… le problème des cases pré cochées est une véritable plaie, il y en a partout, sans parler des “options” activées par défaut et même à l’insu du client …
" />
" />
http://sosconso.blog.lemonde.fr/2015/11/13/internet-attention-a-lactivation-par-…
Par ex, les rares fois où je vais sur mon compte Gmail poubelle, celui que j’utilise pour les commandes sur le net ou l’inscription à des forums, au moment de saisir le mot de passe, la case “rester connecté” est pré cochée, avec comme “justificatif”:
“pour plus de facilités” …
Ben voyons …
Encore plus fort, le fichage par le pharmacien à l’insu total du client …!
http://sosconso.blog.lemonde.fr/2015/11/04/etes-vous-fiche-par-votre-pharmacien/
Heureusement, j’ai réussi à la supprimer sur l’ordinateur du boulot. Déjà qu’on est obligé d’utiliser ce logiciel :/
C’est clair qu’Okular est par exemple infiniment plus léger…
Il existe quoi comme alternative pour lire / modifier un PDF ?
" />
Vrai question, je n’ai jamais creusé le sujet et des années de patch sur patch sur patch sur les faille + la tentative de forçage pour mcAfee à chaque mise à jour est venue a bout de la maigre confiance qu’il me restait.
Merci
Limite j’avais cru que j’avais un virus avec cette installation (que je refusais systématiquement). Quand j’ai vu que ça arrivait sur des postes différents, je me suis dit que Google marchait sur la tête tant cette extension est inutile.
Mais je vois qu’en fait, c’est de l’initiative Adobe et là, je ne comprends pas que Chrome tolère ça peu importe la situation. La tentative d’installation d’une extension sur Chrome sans le consentement de l’utilisateur, ça me laisse pantois. Alors certes, Chrome demande ce consentement, mais je mets mes deux mains à couper que des pelletées d’utilisateurs se sont fait avoir et ont accepté l’installation tant le message de Chrome est simpliste sur le sujet (notamment, il ne met pas en avant la source de la proposition d’installation)
Super article merci ! Les deux derniers paragraphes ne seraient-ils pas cités dans la bible ?? (informatique hein !)Ce logiciel est une calamité, j’espère sa mort la plus rapide possible ! C’est même une horreur sous linux car un pdf signé par Acrobat, et on peu plus rien faire sans adobe, donc windows… C’est encore mieux quand il s’agit d’un document administratif…. 
" />
C’est une sorte de ventre forcée en fait. Sauf que là, il n’y a pas de vente.
Et dans le cas typique de la pharmacie, pour les traitements aux longs cours cela peut rendre les choses plus faciles.
J’ai eu besoin d’un document administratif il n’y a pas longtemps, obligé de retrouver une VM sous Windows pour pouvoir ne serais-ce que le lire…! Sinon sans ça, je m’en sort plutôt bien sans également !
Un exemple : http://www.cnsa.fr/documentation/cerfa_13788-01.pdf
Pour lire seulement et pour Windows, c’est un vrai bonheur : sumatra pdf.
Léger, libre et permet de remplir des formulaires : evince.
Pour modifier : Pdf architect avec l’extension ad hoc (pas très chère).
Pour modifier Draw de LibreOffice mais le rendu n’est pas parfait, ou encore Inkscape, mais on ne peut ouvrir qu’une page du document.
Il y a aussi FoxIt reader, qui permet aussi d’annoter.
Pour linux, on a le merveilleux Okular.
Bref, on peut vivre sans Adobe.
Moi j’ai pas adobe et je n’y arrive pas. :)
quel est cette extension adhoc ?
pdf xchange viewer = “Supported Operating Systems: Windows XP or later*”
" />
Donc pour ma Debian c’est mort ! Vraiment j’ai cherché pas mal, avant que le temps de recherche ne devienne supérieur au temps de retrouver et démarrer ma VM, ce que j’ai fini par faire !
Toujours pareil !
“To view the full contents of this document, you need a later version of the PDF viewer. You can upgrade
to the latest version of Adobe Reader from www.adobe.com/products/acrobat/readstep2.html
For further support, go to www.adobe.com/support/products/acrreader.html”
Edit : je précise ce sont des pdf signés par adobe
PDF XChange Editor gratuit semble très bien et ouvre parfaitement ces saloperies de Cerfa adaptés uniquement à Acrobat.
En fait c’est le module Éditer, qu’il faut payer.
eh eh, Evince fonctionne très bien, pour une page Inkscape aussi d’ailleurs. Je ne remplis pas les Cerfa avec Adobe.
Et Okular ?
Cela fait belle lurette qu’Acrobat a quitté mon PC. Depuis, j’ai adopté et n’ai jamais quitté PDF XChange Viewer : outre sa rapidité, il permet de remplir les formulaires et d’annoter gratuitement les fichiers (avec zones de texte, images, formes géométriques, post-it, etc.).
Non plus, de ce que j’ai pu lire, ce serait du aux formulaires à remplir ou à la signature Adobe. Ce que j’ai trouvé de plus pertinent :
https://forum.ubuntu-fr.org/viewtopic.php?pid=18275111#p18275111 Edit : okular m’a donné la reponse : This document has XFA forms, which are currently unsupported.
Tiens
" /> tu es pour le fichage ? 
" />
hum ..c’est bien ce que je pensais.
Merci, pour l’édition c’est très anecdotique (virer les bandeau de pub sur les pdf de billets tgv/spectacle à imprimer par ex.)
j’essaierais ces alternative rapidement :)
Là je crois que tu es tombé sur un formulaire bien pourri. J’en ai rempli des tas, notamment dernièrement déclaration de perte de carte d’identité sans problème et sans Acrobat.
Faudrait faire remonter l’info aux administrations concernées car c’est tout simplement inadmissible.
Je suggère d’ailleurs que toutes les personnes qui ont eu un problème avec ce genre de formulaire le signale.
Pour bien faire, il faudrait pouvoir réunir tout ça quelque part.
Foxit Reader 6.04 (oui c’est une version un peu ancienne maintenant) y parvient sans soucis. Mais le lecteutr intégré à Firefox (pdf.js) n’y parvient pas.
Pour lire les PDF,j’utilise sumatra pdf qui est vraiment léger et très rapide !
Vivement que le cancer nommé adaube n’existe plus !
" />
Yes perso foxit reader est vraiment génial. Pour annoter remplir des formulaires meme imprimer en pdf (moins util maintenant )
Ah existe sous windows aussi ! Parfait ça à tester.
Ni Sumatra
En remplacement vous pouvez essayer Nitro Reader. Il y a une version gratuite et une version Pro payante.
Perso j’utilise la gratuite. Léger, on peut remplir des formulaires, mettre des annotations, surligner du texte.
Pour moi il est parfait.
Je suis bien d’accord et en tant que dev web je me suis dit je vais faire remonter ça quand même, du coup je regarde contact sur leur site, c’est uniquement pour contacter le service qui gère les dossier et non pas le webmaster, si j’envoie a une secrétaire un bugfix sur un cerfa, je pense qu’elle va bugger…! En tout cas merci des tes conseils, je tenterais de remnter ca !
Je vais en parler à l’April, que penses-tu d’un Framapad où tout le monde pourrait déposer les liens et des remarques vers ce genre de formulaires ?
Super idée avec Frama en plus, je roule ! 
" />
C’est fait : courriel envoyé à l’April, liste sensibilisation et framapad ouvert :
https://annuel.framapad.org/p/Pdf_pourris
Sur le fond. Un tel dossier peut toujours être détourné, mais il existe quelques garde-fous assez simples qui permettraient de déjà largement limiter les risques. Notamment, il est assez facile de se prémunir contre des extractions massives.
Quelques idées en vrac, mais ce n’est pas mon métier, il en manque certainement :
Les gens ayant conçu ce système n’étant pas stupides, je suppose qu’une partie au moins de ces idées est déjà implémentée.