Livre numérique : une faille de sécurité frappe Google, Amazon et Apple

Clément Solym - 30.01.2017

Lecture numérique - Acteurs numériques - faille sécurité ebooks - Google Amazon - faille sécurité livre numérique


Personne n’a été blessé, à l’exception de l’amour-propre des trois grandes structures peut-être. La semaine passée, une faille de sécurité a été dévoilée dans les services de vente d’ebooks des grands acteurs américains. Un petit trou que chacun avait oublié de colmater, et qui avait tout de même une quinzaine d’années d’existence.

 

Daredevil

Joey, CC BY 2.0

 

 

Dévoilée ce 25 janvier, la faille ne concernait pas exclusivement l’environnement EPUB, et pas non plus que des revendeurs – du moins, pas directement. Pour en saisir le fonctionnement, retour aux bases mêmes de ce qu’est un livre numérique.

 

Les fichiers utilisent des métadonnées XML pour définir la structure du document, les droits numériques, et ainsi de suite. La faille de sécurité datant du début des années 2000, et qui est au cœur de cette histoire, s’appelle XXE, pour XML eXternal Entity.

 

Pour les hackers, il s’agit de mettre en place une attaque reposant sur l’envoi d’un fichier malicieux à destination d’un analyseur syntaxique XML. Dans le cas d’une attaque portée contre un serveur, cela peut avoir de vilaines conséquences. Et dans celui qui nous intéresse, les victimes étaient nombreuses.

 

EpubCheck, version 4.01 (outil de validation EPUB), Adobe Digital Editions, version 4.5.2 (logiciel de lecture), Amazon KDP (service d’autopublication de Kindle), l’Apple Transporter (qui sert à la validation de métadonnées, et l’upload de Google Play Book. Et d’autres encore.

 

Alors, on va tous mourir ? Non, personne n’a été blessé, rappelons-le. En réalité, ces attaques exploitent les entités externes d’un XML, de sorte qu’il est possible de modifier la conformité du fichier – le Document type definition, ou DTD.

 

Alors, plus concrètement, qu’est-ce que cela impliquait ? Qu’avec l’upload de fichiers chez KDP, par exemple, il était possible de mener une attaque XXE, et de pénétrer dans la base de données. Tous les détails bien techniques sont à cette adresse.

 

Dans le cas de EpubCheck, c’est politiquement plus embarrassant encore, puisque cet outil est une production de l’IDPF, structure qui est en charge d’établir les standards du format EPUB.

 

Le fait est que la faille a été trouvée entre septembre et octobre 2016, mais le billet n’est arrivé que fin janvier, le temps que tous les acteurs concernés mettent à jour leur système.

 

 

Maintenant, plus personne ne risque quoi que ce soit, et dans tous les cas, le piratage n’aurait pas impacté les utilisateurs, mais plutôt les sociétés proposant ces différents services. Et dans ce cas, c’est l’accès possible à des informations personnelles, des attaques DoS, et d’autres scénarios toujours émoustillants.

 

Ce qui est plus amusant, c’est que Arendt, qui est à l’origine de la publication des failles, a promis qu’il en présenterait de nouvelles, déjà repérées... lorsque tous les revendeurs auront enfin corrigé leurs boulettes.