"Les apparences peuvent être trompeuses", dit l'adage. La même notion s'applique au contenu numérique, où des personnes mal intentionnées peuvent tromper nos yeux et nous faire croire ce qu'elles veulent que nous voyions en ligne. Pour illustrer ce cas, alors que notre équipe analysait des échantillons de logiciels malveillants, nous sommes tombés sur un cas intéressant qui impliquait un fichier PDF, des informations sensibles et la possibilité d'une violation de données.
Une image ou deux ?
Nous avions un fichier contenant une image d'une plage déserte, du moins en apparence.
Le fichier semblait inoffensif. Il n'a rien de suspect. Mais après l'avoir passé au moteur Deep CDR (Content Disarm and Reconstruction), nous avons découvert qu'il contenait en fait deux images :
<</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 160490/Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
Lorsque nous avons ouvert le fichier dans un lecteur de texte, nous avons remarqué que la balise faisant référence à la deuxième image avait été cachée :
La balise alternative qui spécifie l'image par défaut pour l'impression :
<</Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>>
L'image cachée est définie par cette balise :
14 0 obj <</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 47955>>
L'utilisation de balises alternatives dans le PDF permet aux auteurs de définir l'image qui sera affichée lors de l'impression. Cela signifie que si la deuxième image contient des informations sensibles, quelqu'un peut la transmettre à une source externe et la visualiser d'un simple clic sur le bouton d'impression. Après avoir imprimé le fichier, voici ce que nous avons vu sur le papier. Le fichier imprimé contient trois numéros de carte de crédit, qui pourraient être des informations personnelles identifiables (IPI) sensibles.
Comme le montre cet exemple, cette tactique peut être exploitée pour exposer des informations confidentielles, entraînant des violations de données ou des infractions à la réglementation. Pire encore, de mauvais acteurs peuvent utiliser ce stratagème pour inciter d'autres personnes à transmettre des informations sensibles à leur insu. Sournois, n'est-ce pas ?
Comment traitons-nous les informations sensibles cachées ?
Les informations sensibles telles que les numéros de sécurité sociale, les numéros de carte de crédit, les adresses IPv4 ou le CIDR (Classless Inter-Domain Routing) sont susceptibles de faire l'objet d'une violation de données et d'un non-respect de la réglementation.
Une bonne pratique pour prévenir la perte de données et l'exposition aux données consiste à vérifier en permanence le contenu des fichiers transférés. OPSWAT Proactive DLP La prévention de la perte de données (Data Loss Prevention) détecte et bloque les données sensibles et confidentielles contenues dans les fichiers et les courriels. Chaque fichier chargé ou téléchargé à partir d'applications web, ou transféré via des proxys web, des passerelles sécurisées, des pare-feu d'application web et des systèmes de stockage, peut être minutieusement vérifié avant d'être utilisé avec Proactive DLP.
Protéger les informations sensibles et prévenir les pertes de données avec Proactive DLP
Proactive DLP détecte et bloque les données sensibles dans plus de 30 types de fichiers pris en charge. Les informations sensibles détectées dans les PDF, les documents MS Word et les feuilles de calcul MS Excel sont alors automatiquement expurgées.
Proactive DLP peut vérifier la présence d'informations sensibles basées sur des images en s'appuyant sur la reconnaissance optique des caractères (OCR) pour détecter et expurger les données confidentielles dans les fichiers PDF contenant uniquement des images ou dans les fichiers PDF contenant des images intégrées. La technologie supprime également les métadonnées contenant des informations potentiellement confidentielles telles que le nom, la société, le sujet, la localisation GPS, l'auteur, etc. Le fichier final expurgé comprendra des filigranes pour une sécurité, une responsabilité et une traçabilité accrues.
Proactive DLP est une technologie OPSWAT dans le domaine de la prévention de la perte de données et constitue l'une des solutions clés dans le domaine de la prévention de la perte de données. MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosk, , et MetaDefender Managed File Transfer. Pour en savoir plus sur Proactive DLP et sur la façon dont OPSWAT peut protéger votre organisation, contactez l'un de nos experts en cybersécurité des infrastructures critiques.
*Nous remercions tout particulièrement Peter Simon pour avoir découvert et traité ce cas. Simon est l'un de nos talentueux et dévoués ingénieurs logiciels de l'équipe Proactive DLP .
