Adobe Acrobat : déjà corrigée, une faille dans l'extension Chrome confirme les craintes

Adobe Acrobat : déjà corrigée, une faille dans l’extension Chrome confirme les craintes

Halte aux installations automatiques

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

19/01/2017 3 minutes
51

Adobe Acrobat : déjà corrigée, une faille dans l'extension Chrome confirme les craintes

La semaine dernière, Adobe forçait pratiquement les utilisateurs d’Acrobat à se servir de son extension Chrome. Le danger ne sera pas resté potentiel bien longtemps : une faille de sécurité y est présente.

Comme nous l’avions indiqué dans notre article, le fait de forcer une installation comporte essentiellement deux problèmes. D’une part, la négation du choix, qui conduit l’utilisateur à ne plus faire confiance. D’autre part, l’accroissement du danger en cas de faille de sécurité. Malheureusement, il y a bien un problème.

Ce qui devait arriver arriva

Il a été découvert par le chercheur Tavis Ormandy du Project Zero. Ce dernier est pour rappel une initiative de Google qui vise à découvrir et répertorier les failles de type 0-day pour y remédier aussi rapidement que possible. La politique est d’ailleurs stricte : l’éditeur concerné n’a que 10 à 90 jours pour proposer une solution, selon la dangerosité du problème découvert. Dans le cas présent, Adobe disposait de 90 jours.

L’éditeur a en effet réagi très rapidement : en quelques heures, le problème était résolu, comme indiqué dans la (courte) conversation qui s’en est suivie. Il était indiqué dans la description que le bug ne pouvait sans doute pas autoriser directement une attaque de type cross-site scripting, à cause de la Content Security Policy. Le contournement ne semblait cependant pas complexe à mettre en œuvre et le risque était donc réel, même si la faille n’était pas considérée comme critique.

Une simple question de surface d'attaque

Le problème toutefois, même s’il ne représentait pas un risque majeur, existait bel et bien, prouvant le danger inhérent d’un composant dont l’installation est forcée, ou tout du moins poussée de manière à ce que l’utilisateur accepte ou laisse faire. Or, comme l’indique Tavis Ormandy, l’extension avait déjà été installée plus de 30 millions de fois. Bien sûr, l’inclusion dans Acrobat Reader n’est pas directement responsable de ce chiffre, mais elle y a contribué.

C’est une simple question de surface d’attaque : plus on installe de logiciels, d’extensions et de composants, plus on risque l’exposition à une attaque. Ce risque suit de manière logique l’évolution de la quantité de code présent sur la machine. L’erreur étant humaine, aucune application ne peut se targuer d’être exempte de problèmes, qui peuvent devenir des failles de sécurité.

Le dernier mot

Il est assez complexe de sensibiliser les utilisateurs aux vertus des installations minimales. Le comportement des éditeurs peut faire toute la différence, non seulement sur la considération qu’ils ont de la sécurité en général, mais également dans la manière dont ils présentent leurs propres solutions. Se servir d’une installation pour en provoquer une autre n’est jamais une bonne idée. La question devrait être toujours posée en amont à l’utilisateur, qui doit avoir le dernier mot.

51

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Ce qui devait arriver arriva

Une simple question de surface d'attaque

Le dernier mot

Commentaires (51)


Excellente nouvelle !


c’est un euphémisme car forcer l’installation d’un logiciel au détriment de l’utilisateur se rapproche plutôt du foutage de gueule ?


… le problème des cases pré cochées est une véritable plaie, il y en a partout, sans parler des “options” activées par défaut et même à l’insu du client … <img data-src=" />



http://sosconso.blog.lemonde.fr/2015/11/13/internet-attention-a-lactivation-par-…



Par ex, les rares fois où je vais sur mon compte Gmail poubelle, celui que j’utilise pour les commandes sur le net ou l’inscription à des forums, au moment de saisir le mot de passe, la case “rester connecté” est pré cochée, avec comme “justificatif”:



“pour plus de facilités” …



Ben voyons …



Encore plus fort, le fichage par le pharmacien à l’insu total du client …! <img data-src=" />



http://sosconso.blog.lemonde.fr/2015/11/04/etes-vous-fiche-par-votre-pharmacien/








fz49000 a écrit :



Encore plus fort, le fichage par le pharmacien à l’insu total du client …! <img data-src=" />



http://sosconso.blog.lemonde.fr/2015/11/04/etes-vous-fiche-par-votre-pharmacien/





Super example, le 1er de ton lien.

Une dame qui s’insurge qu’à cause de sin fichage, on ne lui donne pas 2 boites d’antibio au lieu d’une seule qui aurait dû etre prescrite (elle le dit clairement).

Bravo ! Et en tant que docteur en biochimie, elle devrait savoir ce que ca implique….



Edit : la le pharmacien a fait son job. On ne risque pas de creer des multiresistances aux antibios parce que madame veut “une boite d’avance”..

Le fichage a parfois du bon, ca evite aux gens de faire des conneries ni vu ni connu.



Heureusement, j’ai réussi à la supprimer sur l’ordinateur du boulot. &nbsp;Déjà qu’on est obligé d’utiliser ce logiciel :/


C’est clair qu’Okular est par exemple infiniment plus léger…


Il existe quoi comme alternative pour lire / modifier un PDF ?



Vrai question, je n’ai jamais creusé le sujet et des années de patch sur patch sur patch sur les faille + la tentative de forçage pour mcAfee à chaque mise à jour est venue a bout de la maigre confiance qu’il me restait.



Merci <img data-src=" />



Limite j’avais cru que j’avais un virus avec cette installation (que je refusais systématiquement). Quand j’ai vu que ça arrivait sur des postes différents, je me suis dit que Google marchait sur la tête tant cette extension est inutile.



Mais je vois qu’en fait, c’est de l’initiative Adobe et là, je ne comprends pas que Chrome tolère ça peu importe la situation. La tentative d’installation d’une extension sur Chrome sans le consentement de l’utilisateur, ça me laisse pantois. Alors certes, Chrome demande ce consentement, mais je mets mes deux mains à couper que des pelletées d’utilisateurs se sont fait avoir et ont accepté l’installation tant le message de Chrome est simpliste sur le sujet (notamment, il ne met pas en avant la source de la proposition d’installation)








Spidard a écrit :



Il existe quoi comme alternative pour lire / modifier un PDF ?




 Vrai question, je n'ai jamais creusé le sujet et des années de patch sur patch sur patch sur les faille + la tentative de forçage pour mcAfee à chaque mise à jour est venue a bout de la maigre confiance qu'il me restait.       






 Merci <img data-src=">








 Pour lire, SumatraPDF, sympa avec pas mal de petits trucs pratiques et open-source      

Leur site (dégueu) :https://www.sumatrapdfreader.org/free-pdf-reader-fr.html



https://github.com/sumatrapdfreader/sumatrapdf



Pour éditer, j’ai utilisé récemment LibreOffice Draw, ça marchait bien pour ce que je voulais









Drepanocytose a écrit :



Le fichage a parfois du bon, ca evite aux gens de faire des conneries ni vu ni connu.







… c’est pas le problème, le problème c’est que le dit fichage se fasse, dans l’immense majorité des cas, à l’insu du fiché et donc sans son consentement ni explications quant aux motifs de cette pratique …



Ta pharmacienne de quartier, n’a pas à savoir que tu t’es fourni, par ex en Viagra, dans une autre pharma de la ville, alors que tu la dragues effrontément, ça risque fort de te casser le coup …! <img data-src=" />



Super article merci ! Les deux derniers paragraphes ne seraient-ils pas cités dans la bible ?? (informatique hein !)Ce logiciel est une calamité, j’espère sa mort la plus rapide possible ! C’est même une horreur sous linux car un pdf signé par Acrobat, et on peu plus rien faire sans adobe, donc windows… C’est encore mieux quand il s’agit d’un document administratif….&nbsp;<img data-src=" />


C’est une sorte de ventre forcée en fait. Sauf que là, il n’y a pas de vente.








numerid a écrit :



C’est une sorte de ventre forcée en fait.





on appelle ça un laxatif



Et dans le cas typique de la pharmacie, pour les traitements aux longs cours cela peut rendre les choses plus faciles.








Trollalalala a écrit :



Super article merci ! Les deux derniers paragraphes ne seraient-ils pas cités dans la bible ?? (informatique hein !)Ce logiciel est une calamité, j’espère sa mort la plus rapide possible ! C’est même une horreur sous linux car un pdf signé par Acrobat, et on peu plus rien faire sans adobe, donc windows… C’est encore mieux quand il s’agit d’un document administratif….&nbsp;<img data-src=" />





ça dépend de l’utilisation… perso ça fait bien 7 ans que j’ai viré adaube acrobat..



J’ai eu besoin d’un document administratif il n’y a pas longtemps, obligé de retrouver une VM sous Windows pour pouvoir ne serais-ce que le lire…! Sinon sans ça, je m’en sort plutôt&nbsp;bien sans&nbsp;également !



Un exemple :&nbsphttp://www.cnsa.fr/documentation/cerfa_13788-01.pdf


Pour lire seulement et pour Windows, c’est un vrai bonheur : sumatra pdf.

Léger, libre et permet de remplir des formulaires : evince.

Pour modifier : Pdf architect avec l’extension ad hoc (pas très chère).

Pour modifier Draw de LibreOffice mais le rendu n’est pas parfait, ou encore Inkscape, mais on ne peut ouvrir qu’une page du document.

Il y a aussi FoxIt reader, qui permet aussi d’annoter.



Pour linux, on a le merveilleux Okular.



Bref, on peut vivre sans Adobe.








Trollalalala a écrit :



J’ai eu besoin d’un document administratif il n’y a pas longtemps, obligé de retrouver une VM sous Windows pour pouvoir ne serais-ce que le lire…! Sinon sans ça, je m’en sort plutôt&nbsp;bien sans&nbsp;également !



Un exemple :&nbsp;http://www.cnsa.fr/documentation/cerfa_13788-01.pdf





euhh… j’arrive parfaitement à lire ton document sans adobe.

Avec PDF&nbsp; X change viewer.



Moi j’ai pas adobe et je n’y arrive pas. :)&nbsp;








Spidard a écrit :



Il existe quoi comme alternative pour lire / modifier un PDF ?





Pour lire un PDF, ton navigateur web fait très bien l’affaire. Pour modifier, aucune idée, je ne le fais jamais.



quel est cette extension adhoc ?


&nbsp;pdf xchange viewer = “Supported Operating Systems:&nbsp;Windows XP or later*”

Donc pour ma Debian c’est mort ! Vraiment j’ai cherché pas mal, avant que le temps de recherche ne devienne supérieur au temps de retrouver et démarrer ma VM, ce que j’ai fini par faire !&nbsp;<img data-src=" />








Spidard a écrit :



Il existe quoi comme alternative pour lire / modifier un PDF ?



Vrai question, je n’ai jamais creusé le sujet et des années de patch sur patch sur patch sur les faille + la tentative de forçage pour mcAfee à chaque mise à jour est venue a bout de la maigre confiance qu’il me restait.



Merci <img data-src=" />









jackjack2 a écrit :



Pour lire, SumatraPDF, sympa avec pas mal de petits trucs pratiques et open-source



Leur site (dégueu) :https://www.sumatrapdfreader.org/free-pdf-reader-fr.html  



https://github.com/sumatrapdfreader/sumatrapdf



Pour éditer, j’ai utilisé récemment LibreOffice Draw, ça marchait bien pour ce que je voulais





+10, je l’utilise au boulot comme à la maison. Il fait son taf et que ça (ouvrir des PDF), utilise les raccourcis de Firefox et pèse que quelques méga.

Un logiciel comme en fait plus !



Par contre pour les formulaires à remplir dans un PDF, comme les administrions utilisent Acrobat, t’es obligé de la coltiner pour remplir les PDF.









Trollalalala a écrit :



Donc pour ma Debian c’est mort ! Vraiment j’ai cherché pas mal, avant que le temps de recherche ne devienne supérieur au temps de retrouver et démarrer ma VM, ce que j’ai fini par faire !&nbsp;<img data-src=" />





pas du beaucoup chercher <img data-src=" />



Toujours pareil !&nbsp;

&nbsp;

“To view the full contents of this document, you need a later version of the PDF viewer. You can upgrade

to the latest version of Adobe Reader from www.adobe.com/products/acrobat/readstep2.html

For further support, go to www.adobe.com/support/products/acrreader.html”



Edit : je précise ce sont des pdf signés par adobe


PDF XChange Editor gratuit semble très bien et ouvre parfaitement ces saloperies de Cerfa adaptés uniquement à Acrobat.


En fait c’est le module Éditer,&nbsp; qu’il faut payer.


eh eh, Evince fonctionne très bien, pour une page Inkscape aussi d’ailleurs. Je ne remplis pas les Cerfa avec Adobe.


Et Okular ?


Cela fait belle lurette qu’Acrobat a quitté mon PC. Depuis, j’ai adopté et n’ai jamais quitté PDF XChange Viewer : outre sa rapidité, il permet de remplir les formulaires et d’annoter gratuitement les fichiers (avec zones de texte, images, formes géométriques, post-it, etc.).


Non plus, de ce que j’ai pu lire, ce serait du aux formulaires à remplir ou à la signature Adobe. Ce que j’ai trouvé de plus pertinent :



 &nbsp;       

"Les PDF générés par les logiciels de cet éditeur ne respectent pas ce standard ISO&nbsp;1), ce qui rend de fait aujourd'hui le format&nbsp;partiellement fermé." - Ubuntu documentation&nbsp;&nbsp;

&nbsp;Et surtout sur Adobe : ''Il est à noter que seules les versions d'Adobe Reader pour Windows permettent de valider les signatures numériques. Les versions pour Linux ne supportent pas encore cette fonctionnalité. " -&gt; (vous remarquerez le "encore" à la fin... <img data-src=">)&nbsp;



https://forum.ubuntu-fr.org/viewtopic.php?pid=18275111#p18275111&nbsp;Edit : okular m’a donné la reponse :&nbsp;This document has XFA forms, which are currently unsupported.


Tiens <img data-src=" /> tu es pour le fichage ?

hum ..c’est bien ce que je pensais. <img data-src=" />








ledufakademy a écrit :



Tiens <img data-src=" /> tu es pour le fichage ?

hum ..c’est bien ce que je pensais. <img data-src=" />





Tiens. T’es trop con pour comprendre que les choses ne sint pas noires ou blanches, mais que la réalité est plus complexe ?

J’avais pas besoin de le penser, c’est evident.



Merci, pour l’édition c’est très anecdotique (virer les bandeau de pub sur les pdf de billets tgv/spectacle à imprimer par ex.)



j’essaierais ces alternative rapidement :)


Là je crois que tu es tombé sur un formulaire bien pourri. J’en ai rempli des tas, notamment dernièrement déclaration de perte de carte d’identité sans problème et sans Acrobat.

Faudrait faire remonter l’info aux administrations concernées car c’est tout simplement inadmissible.

Je suggère d’ailleurs que toutes les personnes qui ont eu un problème avec ce genre de formulaire le signale.

Pour bien faire, il faudrait pouvoir réunir tout ça quelque part.


Foxit Reader 6.04 (oui c’est une version un peu ancienne maintenant) y parvient sans soucis. Mais le lecteutr intégré à Firefox (pdf.js) n’y parvient pas.


Pour lire les PDF,j’utilise sumatra pdf qui est vraiment léger et très rapide !


Vivement que le cancer nommé adaube n’existe plus ! <img data-src=" />


Yes perso foxit reader est vraiment génial. Pour annoter remplir des formulaires meme imprimer en pdf (moins util maintenant )


Ah existe sous windows aussi ! Parfait ça à tester.


Ni Sumatra


En remplacement vous pouvez essayer Nitro Reader. Il y a une version gratuite et une version Pro payante.

Perso j’utilise la gratuite. Léger, on peut remplir des formulaires, mettre des annotations, surligner du texte.

Pour moi il est parfait.


Je suis bien d’accord et en tant que dev web je me suis dit je vais faire remonter ça quand même, du coup je regarde contact sur leur site, c’est uniquement pour contacter le service qui gère les dossier et non pas le webmaster, si j’envoie a une secrétaire un bugfix sur un cerfa, je pense qu’elle va bugger…! En tout cas merci des tes conseils, je tenterais de remnter ca !


Je vais en parler à l’April, que penses-tu d’un Framapad où tout le monde pourrait déposer les liens et des remarques&nbsp; vers ce genre de formulaires ?


Super idée avec Frama en plus, je roule ! &nbsp;<img data-src=" />


C’est fait : courriel envoyé à l’April, liste sensibilisation et framapad ouvert :

&nbsp;

https://annuel.framapad.org/p/Pdf_pourris








fz49000 a écrit :



… c’est pas le problème, le problème c’est que le dit fichage se fasse, dans l’immense majorité des cas, à l’insu du fiché et donc sans son consentement ni explications quant aux motifs de cette pratique …

Ta pharmacienne de quartier, n’a pas à savoir que tu t’es fourni, par ex en Viagra, dans une autre pharma de la ville, alors que tu la dragues effrontément, ça risque fort de te casser le coup …! <img data-src=" />





Je suis partagé.

Autant je n’aime pas le fichage plus que toi, a fortiori à l’insu du fiché et dans l’illégalité, autant il me semble essentiel que ceux qui te prescrivent ou te vendent des médicaments savent ce que tu prends ailleurs (et tes allergies éventuelles) afin de ne pas te donner un truc incompatible.

Si tu veux draguer ta pharmacienne, je ne suis pas certain que l’aborder en tant que client soit une très bonne idée. Son code de déontologie lui interdit probablement de céder à tes avances.









Zerdligham a écrit :



Je suis partagé.



   Autant je n'aime pas le fichage plus que toi, a fortiori à l’insu du fiché et dans l'illégalité, autant il me semble essentiel que ceux qui te prescrivent ou te vendent des médicaments savent ce que tu prends ailleurs (et tes allergies éventuelles) afin de ne pas te donner un truc incompatible.         

Si tu veux draguer ta pharmacienne, je ne suis pas certain que l'aborder en tant que client soit une très bonne idée. Son code de déontologie lui interdit probablement de céder à tes avances.








   Sauf que la réalité est tous autres . Le dossier pharmaceutique permet a ton pharmacien de savoir si tu as un autre pharmacien et du coup adapter ton comportement commercial.&nbsp;        

Et le pire n'est meme pas la comme ton medecin peut savoir ou tu prend les medicament certaine peuvent en garder des traces pour les visiteur medicaux .






Et oui finis les primes de secteurs en fonction des chiffres de la pharmacie du quartier la primes et individualisé :).&nbsp;      

J'ai passé X patient du medicament X a medicament Y &nbsp;.



Tous cela est illegal , le visiteur marquera juste medecin sensible a nos arguments prevoir une formations interessante pour les sujet X . &nbsp;Ou dans le cas contraire envoyer plus de plaquette sur nos produits . &nbsp;Et si ne marche pas dans la magouille. Medecins se suffisant du vidal .

&nbsp;



&nbsp;&nbsp;        






  &nbsp;        






  &nbsp;        








  &nbsp;


Sur le fond. Un tel dossier peut toujours être détourné, mais il existe quelques garde-fous assez simples qui permettraient de déjà largement limiter les risques. Notamment, il est assez facile de se prémunir contre des extractions massives.

Quelques idées en vrac, mais ce n’est pas mon métier, il en manque certainement :




  • tracer précisément qui accède au dossier de qui et permettre à tout patient de savoir qui a accédé à son dossier. Prévoir un endroit ou le patient peut signaler un abus, et sanctionner sévèrement les abus

  • n’autoriser l’accès à un dossier que si le patient l’a explicitement autorisé. Pas une fois vaguement par oral naturellement, mais à chaque consultation via un moyen d’authentification un peu sûr (une carte à puce, par exemple la carte vitale pourrait servir de clé)

  • ne pas autoriser le pharmacien à consulter ce que tu as acheté où, mais seulement ce que tu as acheté. Ou mieux, ne pas lui permettre de consulter ce que tu as acheté, juste lui permettre de rentrer ce qu’il pense te vendre, et le système lève une alerte s’il y a incompatibilité (ça c’est peut-être un peu plus compliqué).

  • limiter le champ de ce qui est accessible à une durée relativement courte

  • mettre des systèmes d’analyse sur les habitudes de consultation des médecins/pharmaciens pour détecter d’éventuels abus



    Les gens ayant conçu ce système n’étant pas stupides, je suppose qu’une partie au moins de ces idées est déjà implémentée.