A lire absolument avant d’ouvrir un document pdf, word, excel…

By | August 17, 2016

A lire absolument avant d’ouvrir un document pdf, word, excel...

Introduction aux PDF malwares

Depuis quelques années, les pirates informatiques s’intéressent de plus en plus aux documents PDF pour délivrer des malwares aux machines Windows qu’ils souhaitent infecter. Depuis que les exécutables (fichiers exe) sont bloqués par les serveurs mails, ces hackers cherchent d’autres alternatives et les PDF se sont révélés être une solution viable.

Le PDF ou Portable Document Format est l’un des outils les plus utilisés pour le partage d’information sur Internet.
Cependant, le PDF permet l’incorporation de scripts (JavaScript) et avec Adobe Reader, les scripts sont exécutés après validation de l’utilisateur.

En gros après l’ouverture d’un PDF infecté, et après validation, le script incorporé sera lancé. Celui-ci est capable de télécharger des logiciels malveillants à partir d’Internet qui infecteront le système.

Un autre type d’attaque consiste à incorporer dans le PDF du code contenant des exploits des lecteurs PDF (plus souvent Adobe Reader).
Vous trouverez sur Internet des dizaines de tutoriels sur l’incorporation de genre de code dans du PDF à l’aide de Metasploit.

Le PDF a beaucoup aidé dans la propagation des ransomwares de ces manières.
Soyez très prudents dans l’ouverture des fichiers PDF provenant de l’Internet.

Comme mesure de précaution il est conseillé de désactiver l’exécution du code JavaScript dans les navigateurs et les lecteurs PDF pour les réactiver au besoin.

Utiliser des lecteurs de PDF tels que Sumatra PDF ou Nitro PDF peut être aussi des solutions car moins exposés à la différence d’Adobe Reader ou Foxit Reader, cibles des hackers.

Les virus Macros de retour

Les documents Offices sont d’autres types de document très populaires pour le partage sur Internet, mais aussi cibles pour les pirates. Ces types de fichiers peuvent compromettre tout un système après l’exécution des macros.

Les Macros sont de petits programmes qui rendent plus facile des tâches complexes ou répétitives sur Excel ou Word. Les hackers utilisent aussi ces programmes pour insérer des virus. A cause de cette grande menace, Microsoft désactive désormais l’exécution des Macros par défaut. Si vous ouvrez ce type de programme, vous recevrez normalement un avertissement.

Dernier exemple en date est le ransonware Locky. A l’ouverture d’un fichier contenant ce ransomware, si vous acceptez l’exécution des macros, votre système sera entièrement crypté par les algorithmes RSA-2048 et AES-256. Pour récupérer vos fichiers, il vous sera demandé de vous connecter à travers Tor sur un site du Dark Web pour payer la rançon demandée par le pirate informatique.

Comment reconnaître ces menaces ?

Le problème c’est que ces menaces peuvent tromper n’importe qui, même les utilisateurs les mieux entraînés.
Par quelques techniques d’obscurcissement, ces fichiers infectés peuvent parfois passer entre les mailles des antivirus.
Cela est aussi valable pour les appareils mobiles où un utilisateur reçoit un message (SMS, MMS) contenant des fichiers provenant d’un numéro inconnu (même à travers des logiciels de messagerie instantanée comme Whatsapp, etc.).
La meilleure manière de se protéger contre ces menaces c’est de ne jamais prendre de risque avec des fichiers inconnus à moins que vous soyez sûrs de la source.

N’hésitez pas à partager vos expériences en commentaire.

mdestroy

Leave a Reply

Your email address will not be published. Required fields are marked *