Les PDF avec signature électronique sont-ils vraiment des documents fiables ?

Un PDF signé est censé être un document sûr qu’il s’avère impossible à modifier. De nombreux convertisseurs PDF, gratuits ou payants, permettent aussi d'utiliser très facilement ce format de document universel et très usité tant en entreprise que par les particuliers. Cependant, des chercheurs de l’université de la Ruhr nous prouvent aujourd'hui le contraire, détaillant deux failles permettant de contourner la signature électronique d'un PDF.

En effet, ces derniers font état dans leur rapport de  "documents à deux visages", avec d'un côté le contenu légitime qui reste visible, et d'un autre côté du contenu qui n’apparaît qu’après signature et qui n’est donc pas porté à la connaissance des signataires. Explications.

Les documents PDF sont structurés en plusieurs parties, le “corps” qui définit la structure générale du PDF, et le “trailer” qui permet de définir l'ordre de lecture des objets, mais également de réaliser un suivi des modifications effectuées par une sorte de versionnage. Enfin, la partie “signature” qui possède son identifiant et son certificat numérique en début et en fin du document.

Le rapport des chercheurs fait état de deux types d’attaques différentes, la première exploitant les formulaires dynamiques. Ces champs peuvent afficher deux valeurs, celle qui est visible, et qui disparaît dès qu’on sélectionne le champ, et celle qui la remplacera qui reste donc invisible. Cette méthode s’apparente aux systèmes de saisie automatique que l’on retrouve un peu partout. Sauf que dans les PDF, il n’existe aucune différence visuelle avec les deux valeurs. Impossible donc de savoir s’il existe des champs de ce type dans le document. Il suffit, avant signature électronique, de renseigner les valeurs visibles et celles qui vont les remplacer. Puis, une fois le document signé, de modifier les /BBox. La signature restera valide mais le texte aura été modifié.

L’autre type d'attaque consiste à associer une police de caractères spécifique à un contenu, puis, une fois le document signé, de remplacer cette police par une autre., permettant par la même de "réécrire" le document.

Espérons qu'une solution soit vite trouvée pour combler ces failles de sécurité.