Les nouveaux virus se déplacent dans des fichiers PDF
Le format de fichier PDF populaire d’Adobeknown connu de tous ceux qui ont déjà appelé un formulaire d’impôt sur le site Web de l’IRShas a généralement été considéré comme immunisé contre les virus. Mais un nouveau virus véhiculé par des programmes intégrés dans des fichiers PDF fait craindre que le format lui-même ne devienne sensible.
Mardi matin, la division antivirus McAfee de Network Associates a pris connaissance du premier virus – connu sous le nom de « Peachy » – qui utilise le PDF pour se propager, a déclaré Vincent Gullotto, directeur principal du groupe Avert de McAfee.
Heureusement, ceux qui visualisent simplement un fichier PDF ou un fichier au format de document portable ne sont pas vulnérables. Le virus se propage uniquement par le logiciel Acrobat d’Adobe – le programme utilisé pour créer des documents PDF – et non par Acrobat Reader, le programme gratuit utilisé pour afficher les fichiers.
« Il n’y a aucun moyen pour que cela affecte Acrobat Reader », a déclaré Sarah Rosenbaum d’Adobe, directrice de la gestion des produits Acrobat. « Le code dans Acrobat qui reconnaît les pièces jointes n’existe pas dans Reader. »
Peachy exploite une fonctionnalité Acrobat qui permet aux utilisateurs d’intégrer d’autres fichiers dans un fichier PDF– des pièces jointes qui ne peuvent être ouvertes que par les utilisateurs d’Acrobat.
« À l’heure actuelle, il est considéré comme un risque faible car nous ne l’avons pas vu signalé par un client », a déclaré Gullotto de Network Associates.
Mais le virus Peachy soulève le problème que les fichiers PDF – largement utilisés pour afficher des documents dans les navigateurs Web et les courriels – pourraient devenir un nouveau canal de propagation des virus.
« Ce qui me préoccupe ici, c’est que cela pourrait être une nouvelle frontière », a déclaré Richard Smith, directeur de la technologie de la Privacy Foundation. « Il est considéré comme un format de fichier sûr. »Smith a publié des nouvelles du virus sur la liste de diffusion de sécurité Bugtraq mardi.
Il est clair que si Adobe modifiait les futures versions de Reader afin qu’il puisse lire les pièces jointes intégrées dans les fichiers PDF, le programme pourrait être victime des descendants de Peachy.
Rosenbaum a déclaré que bien qu’il soit possible qu’Adobe ajoute une capacité de gestion des pièces jointes dans les futures éditions d’Acrobat Reader, la société n’a pas de plans immédiats pour le faire.
Smith a déclaré qu’il croyait que le logiciel Acrobat Reader pourrait s’avérer susceptible dans tous les cas. En effet, l’Équipe d’intervention d’urgence informatique a publié en novembre 2000 une vulnérabilité dans la version Windows d’Acrobat qui pourrait permettre à un attaquant extérieur de prendre le contrôle de l’ordinateur d’une personne qui a simplement consulté un fichier PDF. Adobe a corrigé ce trou.
Adobe a déclaré que tout logiciel populaire devient une cible pour les attaques de sécurité et qu’Acrobat a franchi ce seuil.
« Je pense que l’attraction…a atteint un niveau critique récemment « , a déclaré Rosenbaum. » Ce n’est qu’au cours des 18 à 24 derniers mois que PDF…l’utilisation a vraiment explosé. »
Comment fonctionne Peachy
Acrobat permet aux gens d’intégrer différents types de fichiers dans un PDF, y compris tout, des programmes VBScript – utilisés dans le virus LoveLetter – à un programme exécutable réel, a déclaré Gullotto.
Peachy porte le nom d’un petit jeu dans un fichier PDF qui consiste à trouver des pêches, a déclaré Gullotto. Selon une personne appelée Zulu, qui a dit avoir écrit Peachy, montrant la solution au jeu exécute un fichier VBScript.
Le virus se propage ensuite à d’autres en utilisant des adresses e-mail collectées à partir de Microsoft Outlook, a déclaré Gullotto. Masquer le fichier VBScript dans un document PDF contourne les filtres des versions plus récentes d’Outlook qui filtrent habituellement les fichiers VBScript.
Cependant, ces versions plus récentes d’Outlook, telles qu’Outlook 2002 ou celles qui ont été corrigées avec une mise à jour de sécurité, prennent des mesures qui entravent les virus tels que Peachy, a déclaré David Jaffe, chef de produit principal pour Microsoft Office. Bien que les fichiers PDF – et quels que soient les programmes intégrés qui y sont cachés – ne soient pas éliminés, Outlook avertit l’utilisateur lorsqu’un virus ou un autre processus automatisé tente d’accéder au carnet d’adresses d’Outlook ou d’utiliser le programme pour envoyer des e-mails, a déclaré Jaffe.
Grâce à un accord avec Adobe annoncé en juin, le logiciel de McAfee peut numériser des fichiers PDF, a déclaré Gullotto. Cependant, comme avec d’autres types de virus, le logiciel n’est pas toujours capable d’attraper de nouveaux virus tant que ses définitions ne sont pas mises à jour.
Les descriptions de virus mises à jour publiées par McAfee la semaine prochaine pourront détecter Peachy, a déclaré Gullotto.
Mais Adobe ne prévoit pas actuellement d’empêcher l’exécution de VBScript ou d’autres fichiers.
Pour empêcher Peachy de pouvoir s’exécuter, « la modification que nous devrions apporter est de ne pas autoriser les pièces jointes VBScript. C’est un problème pour beaucoup de nos clients « , a déclaré Rosenbaum. « S’ils changent d’opinion, nous ferons ce qu’ils veulent. »
Les personnes disposant de la version complète d’Acrobat devront faire preuve de prudence lors de l’ouverture de pièces jointes à des fichiers PDF. Cependant, l’ouverture des pièces jointes n’est pas automatique: une boîte de dialogue de mise en garde demande si une personne veut continuer.