Personne ne l’aura manqué, cette petite mais grande news sur la compromission d’un serveur de chez Adobe. Ce serveur, n’ayant pas suivi le processus de provisioning standard d’Adobe, aurait permis à des attaquants d’accéder à l’infrastructure de signature de code de l’éditeur et ainsi de générer de vrais fausses signatures pour des applications malveillantes.

 

Pour les détails, je vous invite par exemple à relire l’article du Monde informatique.

 

Ce qui est intéressant c’est qu’un expert de BitDefender indique que comme le code du malware est signé alors certaines solutions de sécurité comme Microsoft ne scanneront pas le fichier … le fameux « j’ai un antivirus à jour, je suis sécurisé » ne fonctionnera donc malheureusement pas …

 

En effet, la signature électronique est censée apporter de la confiance aux tiers et notamment aux utilisateurs, démontrant l’authenticité du logiciel (vérification de l’identité du développeur et intégrité du code). Ce qui ne signifie pas non plus que le code est exempt de faille … mais nous nous écartons du sujet …

 

Vous l’aurez compris, comme la signature fournit de la confiance, l’intérêt pour l’attaquant est de faire passer son malware pour un programme totalement légitime !

 

Maintenant, compte tenu de cette news et en attendant la révocation de ces certificats par Adobe, la position à adopter pourrait être « ne pas installer temporairement de logiciels même signé par Adobe ».

 

Sauf que cette préconisation est valable, à mon avis, quelque soit l’éditeur et quelque soit la période. Globalement même si l’application est signée, il faut toujours faire attention à ce que l’on installe et à la surface d’attaque supplémentaire que ces lignes de code va apporter …

 

Au moins, on pourra se consoler avec la transparence affichée par l’éditeur qui semble avoir affuté sa communication en cas d’incidents de sécurité avec l’âge 😉 Ce n’est sans doute pas le cas de tout le monde …

 

A bientôt !