Le laboratoire de recherches avast ! a découvert la nouvelle astuce des cybercriminels pour endommager les fichiers PDF. Ils utiliseraient désormais des filtres d’images pour encoder et intégrer des logiciels malveillants dans des fichiers Adobe PDF.
Concrètement, la technique consiste à utiliser le filtre JBIG2Decode, spécialement conçu pour encoder les images monochromes, qui permet au fichier malveillant de se glisser dans un fichier PDF et de ne pas se faire repérer par les antivirus. Le contenu encodé est le célèbre CVE-2010-0188, une faille utilisant le format TIFF dans Adobe Reader.
« L’algorithme JBIG2 est ici impliqué parce que toutes les données – texte ou binaire – peuvent être déclarées comme une image monochrome en deux dimensions », explique Jiri Sejtko, analyste des virus chez avast ! « Qui aurait cru que l‘algorithme d’une image pure pouvait être utilisé comme un filtre standard sur n’importe quel objet stream ? Nous n’avions pas prévu un tel comportement. »
La définition de l’objet stream référencé à partir du tableau XFA montre que celui-ci ne comporte pas les données d’une image et qu’il pèse 3 125 octets. Deux filtres – FlateDecode et JBIG2Decode – doivent être utilisés pour décoder les données d’origine.
« Cette nouvelle astuce de la part des cybercriminels a pour le moment essentiellement été utilisée dans le cadre d’une attaque ciblée et relativement peu pour des attaques plus générales. C’est sans doute pourquoi personne d’autre n’est capable de le détecter », ajoute Jeri Sejtko.
Les nouvelles versions d’Adobe Reader corrigent cette faille, il est donc essentiel de mettre à jour le logiciel régulièrement.
Nordnet se réserve le droit de publier ou de ne pas publier le commentaire. Le champ du commentaire n’est pas destiné à recevoir une question liée à de l’aide ou de l’assistance. Si vous avez besoin d’aide, vous pouvez consulter la page d’assistance disponible sur le site de Nordnet.com à l’adresse : https://assistance.nordnet.com/ ou contacter le service clients (appel non surtaxé) au 3420.
Ces informations sont nécessaires au traitement de votre commentaire à moins qu’elles ne soient indiquées comme étant facultatives. Elles font l’objet d’un traitement informatisé, sous la responsabilité du PDG de Nordnet chargés de l’exécution de votre demande et de toute suite qui pourraient en résulter. Conformément aux dispositions légales et réglementaires applicables, vous disposez notamment d’un droit d’accès, de rectification, d’opposition, pour des motifs légitimes, au traitement de ces informations, à la transmission à des tiers des informations vous concernant, ou à la réception d’informations commerciales. Pour exercer vos droits, veuillez adresser un courrier à Nordnet Pôle Clients – 20 rue Denis Papin – CS 20458 – 59664 Villeneuve d’Ascq Cedex, ou un courriel à l’adresse : coordonnees@nordnet.com en justifiant de votre identité et en précisant le cas échéant les coordonnées, le média et le contrat concernés (seules les demandes portant sur les données personnelles recevront une réponse). Sans préjudice des obligations de conservation, ces informations ne sont conservées, en base active, sous une forme permettant l’identification que pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. En complément de ce qui précède, consultez notre politique de traitement des données à caractère personnel de Nordnet.