Je vais tout de suite vous décevoir, la nouvelle star de la sécurité 2010 ne sera pas le facteur humain. Dommage, même si des journaux généralistes comme le Monde insiste sur l'importance du facteur humain sur la sécurité. Non, la star qui va déchainer les foules cette année sera... le format pdf.
Je sais, vous allez encore me dire que je vous en ai déjà parlé, et vous aurez raison, encore une fois. Adobe risque en cela de passer devant Microsoft au hit parade des éditeurs attaqués (surtout que le format flash se positionne très correctement dans ce classement), succès oblige. Je vous rappelle aussi que ce n'est pas le format pdf qui est attaqué, mais le lecteur pour le lire, à savoir, dans plus de 90% des cas en entreprise, Adobe Reader. Les attaques visent le lecteur star de la firme, et seulement lui. Pourquoi en parler alors? Tout simplement parce qu'une faille trouvée et exploitée depuis le 15 Décembre sera corrigé le 12 Janvier trêve des confiseurs oblige (?). Il s'agissait là d'un problème de Javascript.
...
Alors que faire? On peut bien sûr, manuellement empêcher le java script de s'exécuter, qui va l'enlever? Surtout que la plupart des sites sans javascript deviennent illisibles. Sauf si vous utilisez toute la suite Acrobat (et encore!), je ne saurai trop vous conseiller de passer à un lecteur alternatif, il en existe des dizaines (des centaines?) qui lui ne sera pas attaqué (enfin, pas tout de suite). Si ce n'est pas cette vulnérabilité là, ce sera la prochaine ou celle d'après qui bloquera votre réseau parce qu'un utilisateur aura cliqué en toute bonne foi sur un fichier pdf (format neutre, il sait déjà qu'il ne faut pas cliquer sur un exécutable). On vous l'aura dit, le pdf sera l'une des stars de l'année, et il est si simple d'éviter ce risque.
_