Une équipe d'universitaires allemands a développé une nouvelle méthode d'attaque capable d'extraire et de voler des données à partir de fichiers PDF cryptés.
La nouvelle attaque, appelée PDFex, se décline en deux versions. Elle a réussi à voler des données au format PDF dans 27 lecteurs PDF de bureau et Web, notamment Adobe Acrobat, Foxit Reader, Nitro et dans les visualiseurs PDF intégrés de Chrome et de Firefox.
PDFex ne cible pas réellement le chiffrement utilisé sur les documents PDF par un logiciel externe. Au lieu de cela, l'attaque cible les schémas de chiffrement utilisés par le format PDF (Portable Document Format), ce qui signifie que tous les fichiers PDF sont vulnérables, quel que soit le logiciel utilisé pour les afficher.
Alors que le standard PDF prend en charge le cryptage natif, une équipe de six universitaires de l'Université de la Ruhr et de l'Université de Münster en Allemagne a découvert des problèmes liés à la prise en charge du cryptage par le standard et les a utilisés pour créer PDFex.
Sommaire
Variations PDFex
Selon un article de blog publié par les chercheurs, les documents PDF cryptés sont vulnérables à deux types d'attaques connus par la méthode utilisée pour effectuer l'attaque et pour exfiltrer les données.
Le premier, appelé «exfiltration directe», utilise le fait que le logiciel PDF ne chiffre pas l'intégralité d'un fichier PDF et laisse certaines parties non chiffrées. En altérant ces champs non chiffrés, un attaquant peut créer un fichier PDF piégé qui tentera de renvoyer le contenu du fichier à un attaquant lors de son déchiffrement et de son ouverture.
La deuxième variante d'attaque PDFex se concentre sur les parties d'un fichier PDF cryptées. En utilisant des gadgets CBC, un attaquant peut modifier les données en texte brut stockées dans un fichier PDF à la source. Cela signifie qu'un attaquant peut utiliser un gadget CBC pour modifier le contenu crypté afin de créer des fichiers PDF piégés qui soumettent leur propre contenu à des serveurs distants à l'aide de formulaires PDF ou d'URL.
Toutes les variantes de PDFex nécessitent qu'une attaque pour pouvoir modifier les fichiers PDF cryptés de l'utilisateur. Cependant, pour ce faire, ils devraient intercepter le trafic réseau d'une victime ou avoir un accès physique à leurs périphériques ou à leur stockage.
Au total, PDFex est une vulnérabilité majeure de la norme PDF et l’équipe de recherche responsable de la nouvelle attaque présentera ses conclusions à la conférence ACM sur la sécurité des ordinateurs et des communications le mois prochain.
Via ZDNet