Deux nouvelles attaques rompent la certification PDF

Deux nouvelles attaques rompent la certification PDF

Les experts en sécurité informatique de RUB ont découvert plusieurs problèmes de sécurité avec les signatures numériques pour les documents PDF au cours des dernières années. Crédits: RUB, Kramer

Un problème de sécurité dans les signatures de certification des documents PDF a été découvert par des chercheurs de la Ruhr-Universität Bochum. Cette forme spéciale de fichiers PDF signés peut être utilisée, par exemple, pour conclure des contrats. Contrairement à une signature PDF normale, la signature de certification permet d’apporter certaines modifications au document après sa signature. Cela est nécessaire pour permettre à la deuxième partie contractante de signer également le document. L’équipe de l’Institut Horst Görtz pour la sécurité informatique de Bochum a montré que le deuxième contractant peut également modifier le texte du contrat sans se faire remarquer lorsqu’il ajoute sa signature numérique, sans que cela n’invalide la certification. Les chercheurs ont également découvert une faiblesse dans les produits Adobe qui permet aux attaquants d’implanter du code malveillant dans les documents.

Simon Rohlmann, le Dr Vladislav Mladenov, le Dr Christian Mainka et le professeur Jörg Schwenk de la Chaire pour la sécurité des réseaux et des données présentent les résultats au 42e Symposium IEEE sur la sécurité et la confidentialité, qui se déroule sous forme de conférence en ligne du 24 au 27 Mai 2021. L’équipe a également publié les résultats sur le site web pdf-insecurity.org.

24 applications sur 26 concernées

Lors de l’utilisation de signatures de certification, la partie qui émet le document et le signe en premier peut déterminer les modifications que l’autre partie peut ensuite apporter. Par exemple, il est possible d’ajouter des commentaires, d’insérer du texte dans des champs spéciaux ou d’ajouter une deuxième signature numérique au bas du document. Le groupe Bochum a contourné l’intégrité des documents PDF protégés avec deux nouvelles attaques, appelées Sneaky Signature Attack (SSA) et Evil Annotation Attack (EAA). Les chercheurs ont ainsi pu afficher du faux contenu dans le document au lieu du contenu certifié, sans que cela rende la certification invalide ou déclenche un avertissement de la part des applications PDF.

Les experts en sécurité informatique ont testé 26 applications PDF, dans 24 desquelles ils ont pu briser la certification avec au moins une des attaques. Dans onze des applications, les spécifications des certifications PDF ont également été mises en œuvre de manière incorrecte. Les résultats détaillés ont été publiés en ligne.

Un code malveillant peut être implanté dans des documents Adobe

En plus des failles de sécurité décrites ci-dessus, l’équipe du Horst Görtz Institute a également découvert une faiblesse spécifiquement dans les produits Adobe. Les documents Adobe certifiés peuvent exécuter du code JavaScript, par exemple accéder à des URL pour vérifier l’identité d’un utilisateur. Les chercheurs ont montré que les attaquants pouvaient utiliser ce mécanisme pour implanter du code malveillant dans un document certifié. Cela permet, par exemple, que la vie privée d’un utilisateur soit exposée en envoyant son adresse IP et des informations sur les applications PDF utilisées à un attaquant lors de l’ouverture du document.


Deux vulnérabilités de sécurité majeures trouvées dans les fichiers PDF


Plus d’information:
Rompre les spécifications: certification PDF, 42e symposium IEEE sur la sécurité et la confidentialité, conférence en ligne, 2021, www.computer.org/csdl/proceedi… 3400b902 / 1t0x9ObxH8Y

Fournie par Ruhr-Universitaet-Bochum

Citation: Deux nouvelles attaques rompent la certification PDF (2021, 25 mai) récupérée le 25 mai 2021 sur https://techxplore.com/news/2021-05-pdf-certification.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.