Le PDF restera t-il un format d’échange sûr ?

Le Portable Document Format (communément abrégé PDF) créé par Adobe en 1993 est devenu au fil du temps le document d’échange sur internet. Une recherche via un moteur quelconque sur l’extension .pdf affiche pas moins de 198 millions de documents disponibles.

Facile à créer que ce soit par une imprimante virtuelle (PDF Creator) ou directement exportable par les suites bureautiques libres comme OpenOffice.org, il a tout pour plaire. Il respecte la mise en page même complexe. On peut le protéger (même si cela devient de moins en moins efficace). Il peut contenir du son ou des vidéos. Il peut faire office de formulaire et être rempli hors ligne avant d’être envoyé par courriel. Bref que des avantages. Trop peut être…

Et si tout le monde se méfie des documents de Microsoft et de ses fameuses macro-virus, personne ne sait qu’un PDF peut infecter un ordinateur. Car victime de son succès, les pirates de tout poil se sont mis en recherche de nouvelles possibilités de faille et ils ont trouvé.

Depuis son blogue, Didier Stevens montre qu’il est facile de faire exécuter un programme à l’utilisateur avec une simple boîte de dialogue. Dans sa « preuve de concept », il démontre qu’en deux clics, on peut installer des scripts pour modifier par exemple votre base de registre. Tout cela par la faute du Javascript qui est intégrable dans le PDF. A trop vouloir en faire, on en fait trop dit le dicton.

Mikko Hypponen, le directeur du laboratoire F-Secure (logiciel anti-virus) a écrit récemment : « Adobe Reader est devenu le nouvel Internet Explorer. Pour des raisons de sécurité, évitez-le si vous pouvez ». Préférez lui des alternatives libres proposées depuis PdfReaders.org et qui sont par ailleurs plus légères.

Espérons cependant qu’Adobe, l’éditeur en situation de monopole avec son lecteur gratuit, soit prompt à sortir des correctifs. Je vous conseille vivement de ne pas omettre de les installer.

Mots-clefs :

Un commentaire sur “Le PDF restera t-il un format d’échange sûr ?”

  1. vulcain dit :

    Ou d’installer des lecteurs PDF libre:
    Sumatra PDF, basique mais largement suffisant. Portable qui plus est.
    Evince,…

    Une liste ici: http://www.pdfreaders.org/index.fr.html
    Après je n’ai pas les compétences requises pour dire si ils ont aussi des failles dans leur javascript.