Un logiciel s'attaque aux protections du PDF

24/04/2007 à 18h00

Universe Software met à jour un outil qui permet de casser les restrictions des fichiers PDF protégés. Seul le niveau administrateur d'Adobe Acrobat permettrait de produire des PDF inviolables.

Les utilitaires censés faire tomber toutes les protections attribuées à des documents au format PDF (Portable Document Format) fleurissent. On peut ainsi citer PDF Password Remover, ou encore pdf-Recover Professional de Universe Software, qui vient tout juste de passer en version 4.0. Ce faisant, ce dernier produit devient capable, selon l'éditeur allemand Universe Software, de mettre à plat les défenses d'Adobe Acrobat 8.La sécurité des PDF est-elle remise en cause ? Pas tout à fait. ' Pour sécuriser un fichier lors de sa création, il y a une procédure à deux niveaux, détaille Jimmy Barrens, directeur technique avant-vente d'Adobe France. Le premier est utilisé pour définir les permissions : copier-coller, extraction de texte, impression. Alors que le second ?" une sorte de compte administrateur ?" permet de verrouiller efficacement le document '.

Le cryptage n'est pas concerné

Les logiciels ?" sur la légalité desquels Adobe n'a pas souhaité se prononcer ?" en question s'attaqueraient uniquement au premier niveau, qui dépend d'un simple identifiant/mot de passe. Le second, lui, repose sur un cryptage à 128 bits.Les entreprises pourraient donc éviter tout piratage en bouclant la procédure. C'est-à-dire en renseignant le niveau administrateur après avoir défini les permissions, ce qui les fige de façon sécurisée. Mais les entreprises ne vont pas jusqu'au bout. ' Notre procédure n'est pas assez intuitive ou assez claire sur ce sujet ', reconnaît le directeur technique. Quoi qu'il en soit, la compatibilité avec les documents créés via des algorithmes à 128 bits est un leurre : chez Adobe, on n'a pas encore vu un logiciel capable de casser la protection embarquée dans la gamme Acrobat.

Une préoccupation remontée au support de l'éditeur

Malgré tout, le manque de respect de la procédure de sécurisation est une préoccupation, qui aurait d'ores et déjà été remontée au niveau de la maison mère de l'éditeur... Adobe précise que, pour les entreprises dont les documents sont hautement confidentiels, existe le LifeCycle Policy Server. Ce produit attribue des droits (lecture, impression, date de validité, destinataires...) beaucoup plus fins et automatiquement irrévocables, si l'entreprise le décide. Irrévocables tant que les algorithmes tiennent. ' Si demain sort un outil capable de casser toute clef 128 AES en deux secondes, nous demanderions à passer à des algorithmes 256 bits ', affirme Jimmy Barrens.

Une mise en avant trompeuse du chiffrement

Le PDF, meilleur format d'échange de documents ?

' Quand bien même des éditeurs auraient trouvé un moyen de contourner le verrouillage des PDF, ce sera toujours bien mieux que d'envoyer des documents Word à ses clients ou partenaires ', assène Matthieu Hentzien, responsable commercial chez la société de conseil en sécurité informatique Hervé Schauer Consultants. Un document .doc ?" si l'on ne désactive pas la fonction ?" peut contenir des information sur ses créateurs : modifications, noms d'utilisateurs.

Après quelques manipulations du fichier .doc avec la suite libre OpenOffice, il est même possible d'accéder aux anciens modèles de documents utilisés pour créer le fichier final. ' Se faire piquer du contenu que l'on a volontairement rendu public n'est de toute façon pas très grave au regard des qualités de ce format de fichier, relativise le consultant, les PDF ne subissent pas de virus, sont rarement assujettis à des failles et sont lus sur toutes les plates-formes. '

Renaud Edouard-Baraud

Votre opinion