Hier, nous révélions que la DGSI avait, à l'occasion du Forum International de la Cybersécurité (FIC), publié un fichier .pdf de recommandations rappelant l'importance de la « culture d'hygiène et de sécurité informatique ». Un .pdf rédigé… avec un logiciel non mis à jour depuis plus de 2 ans, et totalisant 11 vulnérabilités non corrigées.
Contactée, la DGSI n'avait pas répondu à nos sollicitations, mais elle vient ce matin de mettre à jour son fichier pour en effacer la quasi-totalité des métadonnées.
Plus gênant : plutôt que d'exporter le fichier Word sous forme de .pdf au format texte, la DGSI l'a exporté sous forme d'image, ce qui empêche donc toute forme de copier-coller, mais rend également la lecture plus compliquée, au vu de la résolution, notamment pour les personnes « empêchées de lire » (parce qu'aveugles, mal-voyantes, etc.) et qui utilisent donc des lecteurs d'écran.
Commentaires (33)
#1
A croire que la seule façon qu’ils aient trouver de dégager les métadonnées c’est en l’imprimant puis scan direct derrière 😂
#1.1
clairement ! C’est pas rassurant sur les capacités de la DGSI d’un point de vue informatique..
#1.3
Ca ne veut rien dire des capacités du point de vue “informatique” (cette même expression ne veut rien dire tant le champ est vaste) de la DGSI. Les travaux de rédaction et publications sont souvent confiés à du personnel administratif ou un service communication qui n’est pas expert la sécurité informatique.
#1.6
ton niveau de securité general est représenté par le maillon le plus faible, ni plus ni moins. Peut être que l’equipe editorial devrait le préciser lors de ce genre d’article et pourquoi toute la chaine jusqu’au stagiaire est importante.
Ils ont probablement des coffres fort et une salle info sécurisé, a quoi bon si tu peux avoir accés au réseau avec un pauv pdf forgé
#1.7
Tu sais comment est fait leur réseau ? Comment est entré le pauv pdf forgé sur le réseau ? Tu penses vraiment que ce pauv pdf forgé peut donner facilement l’accès à tous le réseau ? En fait, encore une fois, on n’en sait rien.
#1.8
En quoi ça permet de tirer tout un tas de conclusions comme beaucoup le font ici ? Oui, produire un fichier PDF avec un logiciel dans une version obsolète et trouée est ironique pour une agence de renseignement.
Mais ça s’arrête là. Tirer des conclusions sur la totalité de leur SI, c’est extrapoler un peu à l’extrême.
#1.9
même paypal a eu des intrusions sur le maillons le plus faible, c’est vraiment dangereux d’avoir un poste ou plusieurs qui peut etre corrompu au sein d’une structure.
mais je ne leur reproche pas, c’est juste un constat neutre. et visiblement il ont trouvé la parade, le desinstaller.
#1.2
Ils ont surement d’autre priorités.
C’est bien drôle de voir leur fichier émis d’une version Nitro soit disant vulnérable, sans connaitre le contexte, mais en vérité, qu’est ce que je m’en cogne, c’est juste une anecdote qui faire sourire. Ca aurait été plus drôle venant de la CNIL.
C’est quand même un article pour pas grand chose.
#1.4
Passer par un support papier, j’ai du mal à trouver cela totalement idiot. C’est l’équivalent du “airgap” pour qu’une machine ne puisse pas être accédée par Internet.
Mais bon, j’ai aussi l’habitude de travailler avec des gens qui régulièrement impriment un document confidentiel, barrent en noir les informations à cacher, font une photocopie en mode noir-et-blanc pur et détruisent l’original. Ca a l’air con au premier abord, mais c’est diablement efficace pour être certain qu’aucune métadonnée ne subsiste et que les passages noircis ne puissent pas être récupérés même chimiquement.
Ca fait belle lurette que les aides aux mal voyants sont capables de faire de l’OCR, non ?
#1.5
Dans le cas présent c’est juste le texte du document qui été rendu en bitmap.
https://ibb.co/pdJt7vQ
#2
:facepalm:
#3
Si tu parle de gain de temps, il aurait été plus sérieux, simple et rapide pour eux d’éditer correctement les métadonnées logiciellement que d’aller faire une impression + scan si tu veux mon avis mais bon… C’est sur que si la personne en charge de publication n’a pas les compétences de base pour ça c’est plus compliqué.
#3.1
Il n’a pas été imprimé, puis scanné, il a été converti en image, c’est différent, les liens sont toujours actifs dans le document, et la lecture n’est pas désagréable.
Disons que quand on vient à ce niveau d’aller vérifier les métadonnées des documents communiqués sur leur plateforme… Il faut pas s’attendre à quoi. “Ahh oui, on n’utilise Nitro 13 et Word 2013, on ne le savait pas, attendez, on va lancer la mise à jour tout de suite”, vous vous attendiez à ca ?
“ni la DGSI ni le ministère de l’Intérieur n’ont répondu à nos sollicitations” mais sérieusement ?
#4
Et on ne parle même pas des personne déficiente visuelle qui ne pourront pas utilise rle text to speech !
#5
C’est un non-sujet car c’est toujours la même chose, on confie ce genre de tâches a des “communicants” contractuels, appelé péjorativement “secrétaire de luxe” à la CapGemini/Athos payés des fortunes, souvent incompétents mais qui “parlent bien” (et encore ça dépend lesquels).
Qui n’a pas connu ces magnifiques personnes en costumes 3 pièces hors de prix “conseillés à la direction” qui répètent en boucle des banalités voire copie-colle ce que les équipes écrivent depuis 5ans sans jamais que ce soit entendu, en ajoutant juste des fautes, des contre-sens et un joli template PPT ? (même si parfois, par miracle, certains connaissent leur sujet, ça me semble plus l’exception que la règle).
Rien de nouveau, juste que ça touche aussi des institutions normalement “de pointe”, et c’est triste :(
#6
Ça détruis la qualité original, rend plus complexe le copié/collé et la reconnaissance de caractère, dans un document public destinés à être partagés massivement ? Hum…
rien que la perte ENORME de qualité devrait interdire cette méthode, SURTOUT, si on détruit l’original…
Et heureusement qu’on sait depuis longtemps détruire des méta-données et cacher des caractères sans que ce soit récupérable tout en restant sur un ordinateur, chercher des excuses à de l’incompétence ne va pas dans le sens de l’amélioration globale.
#6.1
Dans le cas présent, le document n’a pas été imprimé puis numérisé, mais converti en image. La qualité est très bonne, les liens fonctionnent. Ouvrez le.
On s’en cogne de l’exploitation de la faille, le but n’est pas de la corriger, juste de retirer les métadonnées pour éviter les polémiques inutiles du genre.
#7
Sauf qu’ici, les failles de sécurité, c’est pas lors de la génération du PDF qu’elles sont exploitées c’est lors de la lecture d’un PDF.
Ca protègerait qui exactement de passer par le papier pour le scanner en PDF ? A la base, si tu fais ça, tu n’essayes pas de fabriquer un PDF malicieux, donc pas besoin de faire cette manipulation.
Donc, ça ne change rien, une version obsolète (de plus de 2 ans) avec des failles de sécurité connues tourne encore sur des machines de leurs employés, ça fait tâche pour la DGSI quand même.
#8
Même rédigé par du personnel administratif on pourrait penser qu’à un moment du workflow le document soit traité suivant les “bonnes pratiques”.
#9
Non mais sérieusement….
Tout le monde ici met à jour tous ses softs toutes les semaines, sérieusement ? Déjà j’en doute de manière personnelle (sauf evidememnt en utilisant Linux ou un gestionnaire type Chocolatey sous Windows) mais je suis à peu près certain que dans vos environnements pro, le lecteur pdf n’est pas mis à jour souvent, comme tout un tas d’autres applis.
#10
Je vois parfois passer des factures pour :
projet coconstruit d’un espace déambulatoire inclusif de reconnexion des citoyens à la biodiversité, propice à l’introspection (je vous la fais courte il y avait 10 pages avec une faute toutes les deux lignes)
je me demande à chaque fois sil la facture est extrêmement différente de :
100 mètres carrés de pelouse traversée par un chemin en gravillons.
#11
Comme je le dis dans mon premier commentaire, une News comme celle-ci ne vaut pas grand-chose. Ca fait sourire, certes, c’est assez cocasse comme situation, mais on ne connait pas le contexte.
Je suppose qu’à la DGSI, il y a différents services avec différents niveaux de sécurités. Ce document a peut-être été repris par un(e) assistant(e) qui est en bas de l’échelle. Les SI sont surement séparés, avec des stratégies de sécurités différentes. Au niveau de cette personne, il n’y a peut être même pas de gestion de documents sensibles (genre DLP), juste de l’administratif, comme la plupart des fonctionnaires. Pas de quoi s’offusquer de voir que la version de Nitro ou de Word n’est pas à jour.
Allez voir dans les bureaux de Caf, de l’Urssaf, des impôts, etc… Si tous leurs softs sont à jour. Soit vous vivez dans un monde bisounours, soit il faudrait faire croitre le budget et les grilles de salaires de l’IT pour ajouter de la compétence (mais tout le monde crierait au scandale, car il faudrait trouver de l’argent pour ce faire, impôt, TVA, tout ça tout ça quoi…).
Et puis ce n’est pas parce qu’un logiciel comporte une faille que celle-ci est exploitable dans un contexte donné.
Bref, on ne sait pas grand-chose. Et franchement, j’espère bien que la DGSI aura autre chose à faire que de répondre à des sollicitations pour un sujet si peu épineux.
Une version de Nitro pas à jour ca doit courir les rues dans les administrations et entreprises. D’ailleurs j’ai Foxit à mettre à jour de mon coté, faudrait que je m’en occupe…
Un papier pour expliquer le fonctionnement global et les stratégies de sécurité, dans certaines administrations sensibles comme la DGSI aurait été plus intéressant.
#12
Quel est le problème de résolution ?
Je viens d’ouvrir le doc en 400% et il n’y a aucun problème de résolution.
De plus comme dit plus haut, c’est surement du personnel administratif/communication qui est en charge, donc je ne vois pas bien le non problème soulevé dans 2 articles.
#13
peut-être qu’elle a un système informatique particulier (ou des réseaux détachés un peu comme intradef ) qui, même s’il y a des logiciels pas mis à jour, empêche des attaques liées à ces vulnérabilités ?
On parle d’une entité d’un gros ministère avec un budget énorme, des HFSD, et auditée par diverses entitées publiques externes, j’imagine qu’il y a eu des experts (même si certains sont peut-être en costumes 3P et n’y connaissent rien..)
#14
Euh, non, on ne sait pas. Il existe certes des logiciels qui disent qu’ils le font, mais rien ne prouve qu’ils le font réellement. On peut en écrire un soi-même mais là aussi on peut passer à coté de certaines choses. C’est très différent de faire effectivement de manière sûre et de croire qu’on fait de manière sûre.
Passer par une représentation complèrement différente (analogique vs numérique, bitmap au lieu de suite de caractères) est un moyen efficace de filtrer pas mal de choses : tout ce que le format intermédiaire ne g§re pas est forcément atténué. Il semble raisonnable d’appliquer un maximum de filtres même si ça vous fait sourire, même sur des documents peu importants (le faire systématiquement, ça évite le “oh je savais pas que c’était important” - même chose que chiffrer en https même pour consulter la météo).
Bruce Schneier a parlé, il y a fort longtemps d’un concours où il fallait écrire un logiciel de chiffrement qui ne chiffrait pas, mais dont la lecture du code source donnait parfaitement l’impression que c’était réellement chiffré ; le gagnant diluait subtilement la clé pour qu’en réalité elle n’ait que 20 ou 30 bits d’entropie au lieu des 128 annoncés en utilisant des cas limites du compilateur…
#15
Ouais, c’est un métier hein, faudra leur dire à la DGSI (et bim ! tous les participants de ce thread sur écoute
)
#16
Je m’en cogne tout autant, je répondais juste à un commentaire qui disait que de convertir en une image était une solution de sécurité…
Et ensuite, enlever les métadonnées, c’est faisable sans devoir convertir le texte en image. Je serais l’auteur du document, j’aurais envie que ce document reste utilisable par les potentiels lecteurs. Le fait de rendre non sélectionnable le texte, juste pour plus avoir des metadata, ça le fait moyen. On est d’accord que la news n’a pas fort d’intérêt, mais on a le droit d’en discuter, on est pas obligé de rien dire sous prétexte que ça chamboule pas ta vie.
#17
Pour un PDF qui rappelle l’importance de la « culture d’hygiène et de sécurité informatique », ça reste comique. Quand tu communiques à ce sujet, tu fais gaffe à ça. Ca reste une bourde du point de vue de la de comm. Tu communiques dans le contexte d’un forum sur la sécurité, en gros pour montrer que t’es toujours actif dans le milieu, c’est pas le moment de faire une bourde comme ça.
Et y a un manque total de réponse et d’ouverture de leur part en plus. Apparemment, c’est une bonne pratique de montrer qu’on fait du cache misère quand on te remonte un problème de sécurité, même mineur. Y a pas à dire, niveau communication, ils sont forts.
Pour la forme, même si c’est vraiment bidon comme problème (et ça l’est probablement) ben tu updates le logiciel en question et tu refais un truc propre, on en discute plus.
Tu ne connais pas plus que nous non plus les accès réseaux de la machine qui a servi à générer le PDF, si ça se trouve, elle avait accès à des environnements sensibles. T’es pas mieux placé pour dire qu’ils auraient raison de s’en foutre (et là aussi, dû au manque de communication, on ne sait pas s’ils s’en foutent).
Comme tu l’as déjà dit, la news n’a pas d’autre intérêt que de relevé un fait un peu ironique. On peut appuyer sur le côté ironique de la chose.
#18
Ma réponse va peut-être paraître “con” mais prends ton document, fais-en un imprime-écran, copie-le dans paint et enregistre-le.
Ensuite dis-moi les éléments intéressants que tu peux récupérer dessus en metadata…
Et heureusement qu’on sait générer des documents avec des metadata anonymisés, c’est pas magique les metadata, c’est conçu avec le protocole du type de fichier, tu ouvres Acrobat tu peux faire tout ce que tu veux avec ton document dont “Sanitize” qui retire “TOUT” ce que peux contenir le PDF hors le contenu lui-même : https://helpx.adobe.com/acrobat/using/removing-sensitive-content-pdfs.html
Et j’espère que le créateur du protocol sait comment il fonctionne…
#19
Nitro est un logiciel propriétaire développé aux US. À partir de là il n’a pas sa place dans une infrastructure sécurisée pour services secrets, point.
On peut en effet espérer (et raisonnablement supposer) que c’est un service séparé dédié aux communications qui a publié ce document. Dans tous les cas c’est une mauvaise pratique : absence de MAJ + exécution d’un exécutable opaque développé par une puissance étrangère pour des taches potentiellement importantes comme la signature et la publication de documents.
Il n’empêche que c’est un évènement plutôt insignifiant, et il est assez triste de voir le temps qui a été passé à la rédaction de l’article complet et de cette brève alors que les ressources de NXI sont manifestement limitées ces temps ci.
#20
Bah, c’est à-peu-près ce qu’on leur reproche d’avoir fait, non ? Mon point est justement que passer par des formats alternatifs est un moyen efficace de limiter les fuites de métadata. Merci donc de confirmer mes dires.
On diminue les risques en convertissant en bitmap, mais on ne les annule pas nécessairement. Désolé de passer pour un paranoïaque, mais si on parle de documents ultra-confidentiels, c’est incontournable.
Comment peux-tu PROUVER que cette méthode ne laisse passer aucun metadata ? As-tu la certitude, quand Word affiche le document à l’écran, que les pixels gris de l’antialiasing des caractères ne contient pas un side-channel qui exfiltre les données de ton PC ?
Bien sûr qu’une telle attaque ne ciblerait pas madame Michu, bien sûr que moi-même je serais incapable d’exploiter un tel canal, mais on parle d’un service de communications de la Défense, là. Et oui j’ai parfaitement saisi l’ironie d’utiliser un processeur PDF avec des failles connues, je me place uniquement dans le cadre théorique de l’évitement des fuites.
Faut-il rappeler la saga des cartes-mères chépluquoi qui auraient contenu un chip Made in China qui exfiltrerait les données, sans que personne ne puisse savoir si c’est vrai ou faux ? Faut-il rappeler Stuxnet qui aurait réussi à infecter les SCADA qui contrôlent l’enrichissement de l’uranium iranien en passant par plusieurs airgaps et réseaux sécurisés ?
Bah oui, bien sûr, et quand tu décoches l’option idoine, Windows arrête d’envoyer la télémétrie, c’est bien connu, il suffit d’y croire très fort… Je répète : Adobe jure sur ce qu’il a de plus précieux qu’il le fait, mais en es-tu certain ?
Le problème n’est pas de savoir si le créateur du protocole sait ce qu’il fait, le problème est que tu ne peux pas vérifier qu’il fait ce qu’il faut et uniquement ce qu’il faut.
#21
Stéganographie, marquage, ça reste dans un imprime-écran, même si toi, tu ne le vois pas.
#22
Les pistes cyclables non genrées de la Métropole de Lyon ? ^^