Parce que ce n'est pas faute de le répéter. Le support JavaScript dans les lecteurs PDF, et en particulier quand il s'agit de ceux d'Adobe, est une source intarissable de vulnérabilités. Et lorsqu'on considère ce que ça apporte à l'utilisateur en terme de "user experience" de pouvoir exécuter du JavaScript en affichant des PDFs, c'ets à se demander pourquoi il est encore activé par défaut dans la plupart des produits qui le supportent. En tout cas, chez moi, ça fait longtemps qu'il est au placard. Ne serait-ce que parce que j'utilise principalement, hors très rares exceptions, Xpdf et Evince.

Et si on me demande de justifier ces affirmations, ce n'est pas très difficile. Prenez simplement la liste des avis de sécurité publiés par Secunia sur Adobe Reader 8. Juste parce que c'est le plus déployé à l'heure actuelle, donc celui qui donne les résultats les plus significatifs je pense. Il y a donc 7 alertes, dont une seule ne contient pas de vulnérabilité attribuable au support Javascript. Ces avis contiennent un total de 28 vulnérabilités, sur lesquelles 10 concernent directement JavaScript, soit un gros tiers du total. 9 de ces 10 failles permettent d'exécuter du code arbitraire sur la cible. Elles réprésentent d'ailleurs plus de la moitié des failles qui permettent d'en arriver là, parmis lesquelles les failles sur l'interprétations des flux au format JBIG2 se taille également une grosse part. Et malheureusement, certaines d'entre elles on fait l'objet de 0days dernièrement...

Une autre façon de se convaincre du bien fondé de la désactivation du support JavaScript serait de s'intéresser à la présentation qu'ont faite Frédéric Raynal et Guillaume Delugré à Pacsec en novembre dernier. Ou de venir au prochain SSTIC pour assister à la nouvelle mouture de leur présentation. Ça se passe de commentaire.


Enfin, il reste la méthode que conseille aujourd'hui par F-Secure, et à laquelle j'essaye de me tenir depuis bien longtemps déjà, à savoir ne pas utiliser les produits Adobe pour lire les fichiers PDF. C'est effectivement une solution envisageable, d'autant que les alternatives ne manquent pas, en particulier dans le monde du logiciel libre. Cependant, il ne faudrait pas croire qu'on éliminera ainsi le risque, surtout si on en vient à opter pour des solutions concurrentes qui supportent également le JavaScript par défaut et se retrouve impactés par des failles similaires, sinon identiques...


Update (06/05/2009) : il y a des réactions très intéressantes à lire à propos de la désactivation du support de JavaScript dans Acrobat et Adobe Reader, qui poussent à considérer les alternatives...

Et dans la foulée, ce billet chez F-Secure qui nous apprend que le PDF a ravi la première place au format Word dans l'utilisation pour des attaques ciblées en 2009... Et de loin, avec presque 50%...