Les PDF sont devenus de véritables transports en commun pour virus. Plus question d’en ouvrir un sans s’être assuré de son intégrité. Voici quelques outils dédiés à la tâche.

A mettre entre toutes les mains

Ces outils fonctionnent en pointant vers le fichier concerné ou en faisant un copier-coller du lien vers le PDF à télécharger. Chaque application travaille à partir d’une base de vulnérabiltés, notamment celle du Common Vulnerabilities and Exposures. Conçus par des petites structures, ils sont plus facilement exposés à des risques d’instabilité. A recommander toutefois aux utilisateurs avant l’ouverture d’un PDF provenant de l’extérieur, même d’un expéditeur connu !

 

PDF Examiner :

Développé par Malware Tracker, PDF Examiner permet d’explorer la structure d’un fichier PDF en local. Il permet également de se débarrasser d’un éventuel contenu malicieux et d’effectuer manuellement ses analyses. 

 

Wepawet :

La plate-forme effectue un examen automatique des fichiers PDF ou d’objets Javascript malicieux. Il peut traiter des fichiers, contenus sur le disque dur ou en ligne, en lui précisant simplement l’URL.

 

Jsunpack :

Tout comme Wepawet, Jsunpack traite les fichiers en ligne ou en local. La plate-forme souffre actuellement d’une saturation du disque dur, ce qui la rend ponctuellement inutilisable.

 

Gallus :

Il permet de scanner en ligne ou en local les fichiers PDF. Par contre, il se concentre sur la détection de code Javascript et ne propose pas de détecter du code malveillant contenu dans des objets Flash.

 

PDF Stream Dumper :

PDF Stream Dumper est un programme Windows qui présente l’avantage d’être doté d’une interface graphique. Il explore le contenu des PDF : shellcode, objet Javascript… et s’adresse aux débutants et aux utilisateurs avertis.

 

Pour utilisateurs expérimentés

Difficiles d’accès, ces applications fonctionnent uniquement en ligne de commande.  Elles nécessitent l’installation du framework python. Attention, aucune de ces applications ne fonctionne au-delà de la version 2.5 de l’environnement de développement par contre !

1. PDF Tools : comprend pdfid.py, qui sert à faire un scan rapide de PDF pour les fichiers sensibles, et pdf-parser.py, qui permet d’examiner plus en profondeur leur contenu.

2. Jsunpack-n : émule un navigateur pour réaliser une analyse de sites web malveillants. L’outil inclut un module (pdf.py ) pour extraire le code JavaScript.

3. Peedf : permet d’explorer et d’analyser le contenu des fichiers PDF. Il comprend l’examen de la structure du fichier, l’analyse de contenu, Javascript et shellcode.

4. MalObjClass :permet aux programmeurs d’analyser facilement, d’examiner et de décoder des objets malveillants. L’outil inclut également la capacité d’analyse de l’antivirus en ligne VirusTotal.

Aperçu du mode console de PeedPDF :

Pour les développeurs

Développé par le département sécurité de Sogeti, le projet Origami s’adresse aux programmeurs soucieux de vérifier l’intégrité des documents PDF. En plus de proposer une interface graphique et une fonction d’analyse automatique, Origami permet de chiffrer les documents et d’en extraire des graphiques de statistiques.

Exemples de scripts :