Les fichiers texte sont-ils sans danger ?

Les fichiers avec l’extension TXT sont généralement considérés comme étant sans danger. Mais le sont-ils vraiment ?

Les employés qui reçoivent des e-mails externes obtiennent généralement des informations indiquant quels fichiers sont potentiellement dangereux. Par exemple, les fichiers EXE sont par défaut considérés comme dangereux, tout comme les fichiers DOCX et XLSX qui peuvent contenir des macros malveillantes. En revanche, les fichiers texte sont souvent considérés comme inoffensifs par nature car ils ne peuvent contenir que du texte pur. Mais ce n’est pas toujours le cas.

Des chercheurs ont trouvé un moyen d’exploiter une vulnérabilité (maintenant corrigée) dans ce format, et il pourrait y en avoir d’autres. Le format du fichier n’est en réalité pas le problème, mais la manière dont les programmes supportent les fichiers TXT l’est.

Vulnérabilité CVE-2019-8761 dans macOS

Le chercheur Paulos Yibelo a observé une curieuse façon d’attaquer les ordinateurs sous macOS via les fichiers texte. Comme toute autre solution de sécurité, Gatekeeper, le système de sécurité intégré dans macOS considère les fichiers texte comme étant sans danger. Les utilisateurs peuvent les télécharger et les ouvrir grâce à TextEdit qui est intégré dans l’appareil sans plus de vérifications.

Cependant, il s’avère que TextEdit est plus sophistiqué que le Bloc-Notes de Microsoft Windows. Il a plus de fonctionnalités : mettre le texte en gras, changer la couleur de la police, et bien plus. Afin de pouvoir réaliser la tâche, et comme le format TXT n’est pas conçu pour stocker les informations de style, TextEdit prend en charge les informations techniques supplémentaires. Par exemple, si un fichier commence par <!DOCTYPE HTML><html><head></head><body>, TextEdit commence à traiter les balises HTML même avec un fichier dont l’extension est .txt.

Principalement, l’écriture du code HTML dans un fichier texte qui commence ainsi force TextEdit à traiter le code ou bien seulement une partie du code.

Des attaques via les fichiers texte peuvent avoir lieu

Après avoir examiné attentivement toutes les possibilités que peuvent avoir les hackers en utilisant cette méthode, Yibelo a conclu que les vulnérabilités facilitent :

  • Les attaques par déni de service (DoS). Gatekeeper n’empêche pas l’ouverture des fichiers locaux à partir d’un objet ayant l’extension TXT. Par conséquent, le fait d’ouvrir un fichier texte malveillant peut surcharger un ordinateur en utilisant par exemple le code HTML pour accéder au fichier /dev/zero, qui est une source infinie de caractères null.
  • L’identification de la vraie adresse IP de l’utilisateur. Le code présent dans le fichier texte peut faire appel à AutoFS, un programme standard qui permet de monter un système de fichiers et qui peut donner accès à un lecteur externe. Bien que l’action soit inoffensive en soi, le processus de montage informatique oblige le noyau du système à envoyer une requête TCP, même si l’utilisateur travaille derrière un serveur proxy, et le créateur du fichier texte malveillant peut connaître l’heure exacte à laquelle il a été ouvert et entrer la vraie adresse IP.
  • Le vol de fichiers. Des fichiers entiers peuvent être placés dans un document en format texte contenant la balise <iframedoc>. Par conséquent, le fichier texte malveillant peut obtenir l’accès à n’importe quel fichier présent sur l’ordinateur de la victime et à son contenu pour l’envoyer ensuite en utilisant une attaque de balisage. Il suffit juste que l’utilisateur ouvre le fichier.

La vulnérabilité a été signalée à Apple en décembre 2019 et a été nommée CVE-2019-8761. L’article de Paulos Yibelo fournit plus d’informations à propos de l’exploit de la vulnérabilité.

Comment se protéger

Une mise à jour de 2020 a corrigé la vulnérabilité CVE-2019-8761, mais cela ne garantit pas que des bugs liés au format TXT ne se cachent pas dans le logiciel. Il peut y en avoir d’autres que personne n’a réussi à exploiter – pour le moment. Donc, la bonne réponse à la question « Ce fichier au format texte est-il sans danger ? » serait : « Oui, pour l’instant. Mais restez vigilent ».

Par conséquent, nous recommandons de former tous les employés à traiter n’importe quel fichier comme s’il représentait une menace potentielle, même s’il a l’air inoffensif.

Néanmoins, donner le contrôle de tous les flux d’information sortants de l’entreprise à un SOC externe ou interne peut être une bonne idée.

Conseils