Chaouki Bekrar (VUPEN Security) "La majorité des failles découvertes proviennent de corruptions et de débordements de mémoire"

Techniques de détection de failles, travail avec les éditeurs sur la mise en place du correctif, le point avec un expert de la sécurité informatique, exemple d'actualité à l'appui.

JDN Solutions. Pouvez-vous revenir sur l'actualité autour des failles critiques dans Adobe Acrobat et Reader, de ce que vous avez découvert, et nous dire à quoi elles correspondent ?
 
Chaouki Bekrar. Les fichiers PDF sont aujourd'hui, avec les navigateurs, le vecteur d'attaque le plus prisé par les blackhats [ndlr ou hacher] car le format est jugé inoffensif par les victimes potentielles. Il est donc très important pour des sociétés de recherche en sécurité comme Vupen de contribuer à la protection des utilisateurs et des entreprises en découvrant des vulnérabilités critiques avant les attaquants.

La majorité des failles découvertes sont dues à des corruptions et débordements de mémoire, ce qui permet l'exécution d'un code arbitraire dès l'ouverture d'un fichier piégé. La possibilité d'intégrer du JavaScript dans les PDF facilite considérablement l'exploitation en rendant un même document malicieux fonctionnel avec plusieurs versions et langues du logiciel.

"Vupen adhère à une politique de divulgation responsable, qui consiste en une collaboration étroite avec l'éditeur"

Comment procède-t-on pour détecter des failles de sécurité ?
 
Nous avons développé, en interne, des outils dédiés à la recherche de vulnérabilités ce qui nous a permis de découvrir plusieurs dizaines de failles aux cours des derniers mois.

Nos travaux de recherche et d'analyse approfondie des vulnérabilités corrigées nous mènent aussi quelques fois à la découverte de nouvelles failles. Cependant, nous ne pouvons pas donner les noms des outils de recherche puisque ce sont des outils internes à Vupen.
 
Quelle est la démarche qui est menée ensuite avec les éditeurs ?
 
Vupen adhère à une politique de divulgation responsable qui consiste en une collaboration étroite avec l'éditeur, souvent pendant plusieurs mois, afin de corriger les vulnérabilités que nous découvrons et afin de s'assurer que les correctifs sont bien efficaces. L'entreprise contribue actuellement à la sécurisation de plusieurs produits édités respectivement par Adobe, Sun Microsystems, Microsoft, Apple ou encore VMWare.

Concernant le processus de collaboration avec l'éditeur, une fois la vulnérabilité analysée de manière approfondie, nous envoyons un rapport détaillé de plusieurs pages à l'éditeur incluant le code assembleur vulnérable expliqué ainsi que les causes et les conséquences de la faille en terme d'exploitabilité.

L'échange d'informations se fait par la suite de manière régulière, à la fois pour s'assurer que la correction est en cours mais aussi que le correctif est bien efficace. La publication d'un bulletin d'alerte est la dernière étape qui se fait à une date fixée avec l'éditeur et uniquement lorsque le correctif est prêt.

Chaouki Bekrar est P-DG de la société d'expertise en sécurité française Vupen.