IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une faille de sécurité touche Internet Explorer et les PDF
Elle permet d'obtenir des informations cachées sur le créateur du document

Le , par Gordon Fowler

102PARTAGES

1  0 
Les PDF mis en ligne recèle plus d'informations qu'on ne le croit.

Sans être une vulnérabilité critique, la faille qui vient d'être mise à jour reste néanmoins préoccupante.

Jusqu'ici, lorsqu'un PDF était mis en ligne, son auteur pouvait décider de cacher les informations contenues dans l'en-tête et le pied de page. Ces informations concernent notamment le "chemin" (C:/Documents and settings/etc. ) de l'endroit ou se trouvait le PDF sur le disque local. Si l'on y prend garde, les noms d'utilisateurs (voire l'identité du créateur du document), le type d'OS employé, le nom d'un projet (si le PDF est dans un dossier portant ce nom), etc. peuvent rapidement devenir publics.

On croyait que ces informations pouvaient toujours être camouflées via File -> Page Setup -> Pied de Page et modifier “URL” en “Empty”. Une fois cette modificationa apportée, les pieds de pages restent vides. Mais les informations sont toujours là.

Et très facilement consultables.

Il suffit d'imprimer le PDF avec Internet Explorer (même la version 8).

Dans Windows, un simple clic-droit sur un document permet de lancer une impression... qui révèlera toutes les informations précédemment dissimulées. Il ne s'agit pas d'une impression papier mais nous ne donneront pas plus de détails sur le proof-of-concept qui permet d'y accéder

Internet Explorer est impliqué dans cette faille dans la mesure où le menu contextuel s'appuie le navigateur (qui gère également l'affichage des fenêtres dans l'OS).

Curieusement, seuls 20 % des PDF de la toile semblent exposés. Contacté par l'auteur de la preuve de faisabilité, Microsoft a confirmé qu'il travaillait sur cette anomalie.

La seule parade, à ce jour, contre ces indiscrétions reste de suppriment manuellement ces informations en utilisant un éditeur de texte.

De son coté, Adobe reste désespérément silencieux.

Source : La Proof-of-Concept

Lire aussi :

Plus de 80% des utilisateurs toujours vulnérables aux récentes failles détectées dans les lecteurs Adobe

Les rubriques (news, tutos, forums) de Developpez.com
Sécurité
Windows
Développement Web

Et vous ? :

Que pensez-vous de l'attitude d'Adobe ?
Allez-vous éditer vos PDF pour supprimer les "chemins" ou concidérez-vous qu'il s'agit d'une crise de paranoïa ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kOrt3x
Modérateur https://www.developpez.com
Le 24/11/2009 à 12:50
Je les plains les développeurs de IE, ils doivent en avoir du boulot...
1  0 
Avatar de entreprise38
Inactif https://www.developpez.com
Le 24/11/2009 à 13:00
Ici IE n'est pas en cause, mais Adobe, pour laisser ce genre d'infos dans des pdf.
1  0 
Avatar de kOrt3x
Modérateur https://www.developpez.com
Le 24/11/2009 à 13:12
Citation Envoyé par Gordon Fowler Voir le message

Microsoft a confirmé qu'il travaillait sur cette anomalie.
Oui, j'ai bien compris.
1  0 
Avatar de chemanel
Membre confirmé https://www.developpez.com
Le 24/11/2009 à 13:36
Microsoft travaille.... en collaboration avec Adobe
1  0 
Avatar de FR119492
Rédacteur https://www.developpez.com
Le 24/11/2009 à 13:57
Bonjour à tous.
Est-ce qu'il n'y a pas un moyen très simple: mettre le fichier original sur un stick USB et retirer le stick après le transert sur le net?
Jean-Marc Blanc
1  0 
Avatar de
https://www.developpez.com
Le 24/11/2009 à 14:21
Bonjour,

Cela concerne les PDF créés avec quel logiciel ? Sous quelle version ?
1  0 
Avatar de shkyo
Membre expérimenté https://www.developpez.com
Le 24/11/2009 à 15:18
Citation Envoyé par entreprise38 Voir le message
Ici IE n'est pas en cause, mais Adobe, pour laisser ce genre d'infos dans des pdf.
Il n'y a pas que les .pdf, car il y a un certain temps (assez long...), j'avais lu dans l'excellent magazine "MISC" (sur la sécurité informatique pour info), que si tu passais les fichiers dans des éditeurs hexadécimaux, tu pouvais trouver beaucoup d'infos supplémentaires, comme les noms de créateurs, les modifs, des restes de copier-coller (!!!), etc...

Je ne sais pas si c'est encore valable avec Office 2007, mais bon.
1  0 
Avatar de jowo
Membre chevronné https://www.developpez.com
Le 24/11/2009 à 17:02
Bonjour,

je ne vois l'intérêt d'un telle information. Du moment où l'on télécharge un fichier, on peut l'examiner avec n'importe quel éditeur de texte (avec fonction hexadécimal) et que l'utilisateur connait le format du fichier.

Même si certaines parties du document sont cryptées, il est assez simple de contourner...

Par exemple, certains documents PDF ne sont autorisés à être imprimés...
1  0 
Avatar de ni69
Membre à l'essai https://www.developpez.com
Le 24/11/2009 à 18:48
Je suis d'accord avec jowo:
A partir du moment où l'utilisateur fournit délibérément les informations sensibles (j'entends par là qu'il met en ligne un fichier, pas forcément qu'il est conscient de tout ce qu'il contient), le logiciel permettant l'affichage n'a pas à être mis en cause dans la divulgation de ces mêmes informations ! Le seul problème réside dans le module qui réalise l'enregistrement.

Sinon on en arrive très vite a des abbérations comme :
"Une faille de sécurité touche les éditeurs hexadécimaux : ils peuvent lire le contenu des fichiers"
1  0 
Avatar de smyley
Expert éminent https://www.developpez.com
Le 24/11/2009 à 21:20
C'est vrai que j'ai du mal avec la tournure "il y a une faille dans IE parce qu'il permet de lire les informations contenues dans un PDF" ... (IE a quand même une histoire suffisamment lourde en faille pour ne pas encore lui en rajouter )

D'ailleurs en principe ce n'est pas une faille non plus, mais une fuite si on veux. Une faille c'est plus dans l'idée que grâce à un exploit on peut arriver à s'infiltrer sur un PC et récupérer à l'insu du plein gré de l'utilisateur des informations sur lui.

Là c'est l'utilisateur qui divulgue lui même (à l'insu de son plein gré aussi ceci dit) des informations à cause de problèmes avec le générateur de document PDF (qui est ? bah on sait pas )
1  0