conversion de fichiers en ligne
Produits et Services PRODUITS & SERVICES

Les services de conversion de fichiers en ligne : pourquoi leur faire confiance ?

Parfois, il arrive que vous soyez obligés de travailler sur une pièce jointe reçue sur votre smartphone alors que vous n'êtes pas chez vous ou que vous n'avez pas votre ordinateur portable à portée de main. De nombreux services de conversion de fichiers en ligne existe, mais ces services Cloud peuvent potentiellement être la cible de cybercriminels.

Imaginons que vous venez de recevoir une pièce jointe sur votre téléphone, telle qu’une image, un document ou une feuille de calcul, ou d’autres données personnelles.

Imaginez que vous avez besoin de l’éditer, de la redimensionner, de la convertir vers un nouveau format, ou bien de réaliser une autre action similaire, mais que vous n’avez pas une application appropriée sur votre téléphone, et que vous n’avez pas non plus votre ordinateur portable avec vous.

Il s’agit d’un fichier que vous ne voulez pas rendre publique, peut-être que c’est la photo de l’un de vos enfants, ou la copie de votre dernière déclaration de revenus, ou encore vos objectifs de vente pour le prochain trimestre, mais vous devez néanmoins travailler dessus de façon urgente (eh oui ces choses-là arrivent !) …

…comment faire ?

Nous partons du principe que vous n’allez pas entrer dans un cybercafé ou trouver une borne internet, télécharger le fichier sur l’un des ordinateurs mis à votre disposition pour vous mettre au travail.

Nous ne pensons pas non plus que vous allez demander à l’inconnu assis près de vous dans le train si vous pouvez lui emprunter son ordinateur portable pour un court instant. D’ailleurs, si vous étiez cet inconnu, nous vous conseillons de ne pas prêter votre ordinateur portable, déclinez poliment la proposition, et méfiez-vous des geeks munis de clés USB.

Il s’agit tout simplement de confiance.

Mais combien d’entre nous utilisons des services de conversion de fichiers en ligne, des serveurs en ligne accessibles au public, pour réaliser ce genre de tâches ?

Plus précisément, nous parlons des sites web qui offrent la conversion de documents en ligne, l’édition d’image, le transcodage vidéo, la création de GIF animé, la génération de code-barres, etc.

Pour résumé, la conversion de fichiers en ligne via le Cloud.

A lire également :

Le Cloud comme borne internet ?

Une définition cynique de l’utilisation du Cloud est : “réaliser votre travail sur l’ordinateur d’un tiers”, avec tous les risques que ce comportement comporte.

En effet, si vous utilisez un service Cloud qui implique le téléchargement de vos propres données personnelles, pour pouvoir les manipuler à distance, vous réalisez effectivement “vos travaux sur l’ordinateur d’un tiers”.

Si ce “tiers” est sans scrupule, il peut très bien conserver une copie de vos fichiers personnels après en avoir fini avec eux.

S’il est incompétent, il peut accidentellement laisser des cybercriminels s’emparer de vos fichiers personnels pendant que vous travaillez dessus.

En d’autres termes, tout comme nous l’avons mentionné ci-dessus, il s’agit bel et bien d’une question de confiance.

Cette confiance doit être gagnée, et ne peut être donnée automatiquement, comme nos amis de ZDNet nous l’ont rappelé hier, quand ils ont écrit au sujet d’un serveur de conversion de fichiers en ligne basé en France, et qui aurait été vulnérable vis-à-vis d’une cyberattaque, et ce depuis plus d’un an, en raison de la vulnérabilité ImageTragick.

ImageTragick était une faille de sécurité dans un utilitaire de conversion d’image open source populaire appelé ImageMagick, un toolkit utilisé sur de nombreux sites web pour gérer la manipulation de fichiers de bas niveau nécessaire pour convertir, redimensionner et modifier les images. Le bug en question permettait à un cybercriminel d’uploader de fausses images piégées qui incitaient le logiciel ImageMagick à exécuter des commandes système choisies par le hacker, aboutissant au bien connu bug RCE (Exécution de code à distance). Un patch pour ce bug, connu sous le nom de CVE-2016-3714, est sorti en mai 2016.  

Selon ZDNet, les serveurs français concernés hébergeaient près de 50 services différents de conversion de fichiers en ligne, avec des noms tels que rtftopdf, svgtopng et pdftotext.

Apparemment, la faille ImageTragick avait déjà été utilisée pour fournir un accès à distance à des cybercriminels inconnus, impliquant que n’importe quel fichier que vous aviez uploadé sur le service ou téléchargé depuis ce dernier, pouvait être intercepté, inspecté, modifié ou copié par des pirates invisibles.

Rappelons que les sites de conversion de fichiers en ligne sont entièrement basés sur le téléchargement et l’uploading de vos propres fichiers, ce qui explique pourquoi les cybercriminels se sont intéressés à une potentielle backdoor pour obtenir un accès à distance.

A lire également : Are you at at risk from the ImageMagick security hole?

Quoi faire ?

Si vous confiez vos données personnelles à un service basé dans le Cloud, en allant de la création de votre profil de connexion à l’uploading de vos propres fichiers, ne le faites pas à moins d’avoir une très bonne raison de faire confiance à ce service.

Il s’agit du fameux “principe de précaution” classique, que vous devez appliquer lors de la sélection d’une application à laquelle vous allez confier vos données.

En effet, le fait d’éviter les services de conversion de fichiers en ligne en faveur de ceux fonctionnant hors ligne, téléchargeables, peut également mal tourner, comme nous l’avons écrit l’année dernière lorsqu’un outil gratuit appelé EasyDoc Converter s’est avéré être un moyen d’infecter les utilisateurs Mac avec un cheval de Troie fournissant un accès à distance, appelé aussi RAT.

A lire également : The Mac malware that hooks your webcam up to the Dark Web

Voici trois mesures de sécurité que vous pouvez appliquer lors du choix d’un service, d’une application ou d’une combinaison des deux (plusieurs services s’accompagnent en général d’une application dédiée, en particulier sur les appareils mobiles, de sorte que vous n’avez pas besoin d’utiliser votre navigateur) :

  • Évitez les applications ou les services en ligne avec une réputation faible ou inexistante. Ne faites pas confiance à un service Cloud ou à une application que personne ne semble connaitre.
  • Ne faites pas confiance aux avis concernant une application ou un service. Même sur les marchés officiels comme Google Play, il est difficile d’empêcher le créateur de l’application ou du service en ligne de publier ses propres commentaires positifs et élogieux, ou bien de payer un tiers pour qu’il le fasse à sa place. Recherchez plutôt un avis provenant de la vie réelle, si possible d’une personne que vous connaissez déjà et en qui vous avez confiance.
  • N’utilisez pas les moteurs de recherche comme un indicateur de qualité. Dans le cas mentionné par ZDNet, plusieurs des sites à priori vulnérables apparaissaient en première page des résultats de Google, avec des mots clés tels que “conversion pdf” et “conversion image“.

En bref, et pour finir…

…en cas de doute, ne donnez rien !


Billet inspiré de  Online file conversion services – why trust them ?, sur Sophos nakedsecurity.

Lire des articles similaires