Adobe Acrobat : déjà corrigée, une faille dans l'extension Chrome confirme les craintes

Halte aux installations automatiques
Internet 2 min
Adobe Acrobat : déjà corrigée, une faille dans l'extension Chrome confirme les craintes
Crédits : weerapatkiatdumrong/iStock

La semaine dernière, Adobe forçait pratiquement les utilisateurs d’Acrobat à se servir de son extension Chrome. Le danger ne sera pas resté potentiel bien longtemps : une faille de sécurité y est présente.

Comme nous l’avions indiqué dans notre article, le fait de forcer une installation comporte essentiellement deux problèmes. D’une part, la négation du choix, qui conduit l’utilisateur à ne plus faire confiance. D’autre part, l’accroissement du danger en cas de faille de sécurité. Malheureusement, il y a bien un problème.

Ce qui devait arriver arriva

Il a été découvert par le chercheur Tavis Ormandy du Project Zero. Ce dernier est pour rappel une initiative de Google qui vise à découvrir et répertorier les failles de type 0-day pour y remédier aussi rapidement que possible. La politique est d’ailleurs stricte : l’éditeur concerné n’a que 10 à 90 jours pour proposer une solution, selon la dangerosité du problème découvert. Dans le cas présent, Adobe disposait de 90 jours.

L’éditeur a en effet réagi très rapidement : en quelques heures, le problème était résolu, comme indiqué dans la (courte) conversation qui s’en est suivie. Il était indiqué dans la description que le bug ne pouvait sans doute pas autoriser directement une attaque de type cross-site scripting, à cause de la Content Security Policy. Le contournement ne semblait cependant pas complexe à mettre en œuvre et le risque était donc réel, même si la faille n’était pas considérée comme critique.

Une simple question de surface d'attaque

Le problème toutefois, même s’il ne représentait pas un risque majeur, existait bel et bien, prouvant le danger inhérent d’un composant dont l’installation est forcée, ou tout du moins poussée de manière à ce que l’utilisateur accepte ou laisse faire. Or, comme l’indique Tavis Ormandy, l’extension avait déjà été installée plus de 30 millions de fois. Bien sûr, l’inclusion dans Acrobat Reader n’est pas directement responsable de ce chiffre, mais elle y a contribué.

C’est une simple question de surface d’attaque : plus on installe de logiciels, d’extensions et de composants, plus on risque l’exposition à une attaque. Ce risque suit de manière logique l’évolution de la quantité de code présent sur la machine. L’erreur étant humaine, aucune application ne peut se targuer d’être exempte de problèmes, qui peuvent devenir des failles de sécurité.

Le dernier mot

Il est assez complexe de sensibiliser les utilisateurs aux vertus des installations minimales. Le comportement des éditeurs peut faire toute la différence, non seulement sur la considération qu’ils ont de la sécurité en général, mais également dans la manière dont ils présentent leurs propres solutions. Se servir d’une installation pour en provoquer une autre n’est jamais une bonne idée. La question devrait être toujours posée en amont à l’utilisateur, qui doit avoir le dernier mot.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !