L’un des plus grands fournisseurs de services de transfert d’argent et de services bancaires en ligne du pays aux coopératives de crédit et autres institutions financières exhorte ses clients à ne pas appliquer les dernières mises à jour de sécurité pour Adobe Readerl’application la plus ciblée par les pirates informatiques et les logiciels malveillants.
Il s’agit d’un avis non public émis par Fiservune société du Fortune 500 qui fournit des services et des logiciels de traitement des transactions bancaires à plus de 16 000 clients dans le monde.
Un lecteur qui travaille dans le domaine de la sécurité pour une coopérative de crédit de taille moyenne m’a fait part d’un avis affiché bien en vue dans la partie « soins collaboratifs » du site de Fiserv, une section dédiée aux responsables de la sécurité et de l’informatique des institutions financières partenaires.
Dans l’avis, daté du 16 février 2010, Fiserv a demandé à ses clients d’éviter les dernières mises à jour d’Adobe Reader, apparemment en faveur de celle qui a été publiée il y a deux ans :
« AVIS : Veuillez ne pas mettre à niveau Adobe Acrobat Reader au-delà de la version 8.1. »
L’avis continue :
« Ce qui suit est important pour toutes les coopératives de crédit.
Jusqu’à nouvel ordre, veuillez ne pas mettre à jour Adobe Reader au-delà de la version 8.1. Nous avons récemment constaté qu’il existe des problèmes de compatibilité potentiels avec certains de nos produits basés sur Adobe. Si vous avez déjà mis à jour cette version, vous pouvez essayer de désinstaller vers une version inférieure. Cela peut réussir ou non. Pour obtenir des instructions sur la désinstallation, veuillez visiter www.Adobe.com.
Nous vous fournirons de plus amples informations dès qu’elles seront disponibles.
J’ai demandé plus d’informations à Fiserv sur ce qui a motivé cet avis et je mettrai à jour ce message lorsqu’ils répondront.
Adobe 8.1 a été publié pour la première fois en octobre 2007. Mais même si nous donnons à Fiserv le bénéfice du doute et supposons qu’ils voulaient vraiment dire « Ne migrez pas vos systèmes au-delà de la dernière version 8.1 – Adobe Reader 8.1.7 (publié en octobre 2009) qui laisserait encore dangereusement les institutions financières exposé à le défaut du lecteur que les criminels exploitent très activement pour installer des logiciels de vol de données, via des spams et des sites Web piratés ou malveillants.
Selon un rapport publié le mois dernier par une société de sécurité Web ScanSafe80 % des attaques Web provenant de sites Web malveillants et piratés ont ciblé les vulnérabilités d’Adobe Reader au cours des trois derniers mois de 2009. La société de sécurité F-Secure a également c’est noté que les vulnérabilités d’Adobe Reader sont de loin les plus utilisées dans les attaques ciblées par e-mail.
Ce genre d’avis peut sembler choquant, mais il est incroyablement courant, a déclaré Didier Stevenun chercheur en sécurité informatique qui a fait quelques des recherches approfondies sur les vulnérabilités d’Adobe. Comme l’a noté Stevens, de nombreux fournisseurs d’applications ou entreprises inciteront les utilisateurs à rester sur des plates-formes logicielles obsolètes et non sécurisées, car la mise à niveau peut interrompre les fonctionnalités des logiciels personnalisés. Stevens a déclaré que l’avis de Fiserv aux clients est probablement lié à une application personnalisée similaire.
« Je peux imaginer que dans leur logiciel, ils utilisent certains composants d’Adobe, par exemple, un composant pour afficher un PDF dans une application financière, et ils n’ont tout simplement pas encore mis à jour cette application », a déclaré Stevens.
En effet, pas plus tard que le mois dernier, j’ai écrit sur l’ouverture d’un nouveau compte dans une banque locale et j’ai remarqué que le directeur de la succursale naviguait toujours sur le Web avec Internet Explorer 6, quelques jours seulement après l’annonce de l’utilisation d’une vulnérabilité zero-day dans IE6 dans des attaques contre Google, Adobe et une foule d’autres entreprises de la Silicon Valley récemment. De son côté, Google l’a dit ne prendrait plus en charge IE6 dans ses applications.
Mise à jour, 9 mars, 10h48 : Fiserv a répondu à cette histoire avec la déclaration suivante, envoyée par e-mail :
« Nous avons recherché l’avis client mentionné dans votre message. Nous apprécions votre attention sur cette question, car l’avis n’expliquait pas efficacement nos conseils, ni la bonne approche pour le problème sous-jacent de la compatibilité Adobe.
Le conseil n’était pas destiné ou disponible à tous nos clients, mais plutôt aux clients d’une seule solution au sein d’une gamme de produits individuelle. L’avis avait été vu par moins de trois douzaines de personnes au moment où il a été supprimé. Nous travaillons dur pour résoudre le problème de compatibilité Adobe et pour améliorer la rigueur de notre gestion de contenu sur le site de collaboration client où l’avis a été publié.