Notifier Foxit des problèmes de sécurité

Sécurité des documents

Foxit PDF Editor permet aux auteurs de documents de créer des documents PDF et d'appliquer diverses mesures de sécurité, y compris le cryptage, le contrôle d'accès, les signatures numériques et la rédaction (suppression définitive du contenu). La simplicité d'utilisation et la puissance de ces fonctionnalités offertes par Foxit PDF Editor permettent aux utilisateurs individuels et aux organisations de conserver efficacement leurs informations privées et confidentielles.

Cryptage

Les normes de sécurité prises en charge par Foxit PDF Editor comprennent:

• Advanced Encryption Standard (AES) à 256 bits
• ARC-FOUR Encryption Standard (ARC4) à 128 bits

Contrôle d'accès

Les utilisateurs de Foxit PDF Editor peuvent facilement partager des documents en appliquant des mots de passe pour prévenir toute consultation non autorisée. De plus, ils peuvent spécifier un contrôle d'accès sur les documents pour empêcher efficacement toute modification, restreindre l'impression ou altérer les documents.

Signatures numériques

Avec Foxit PDF Editor, les utilisateurs peuvent facilement signer numériquement des documents en utilisant la plus large gamme de certificats numériques. Cela est rendu possible par une intégration étroite avec le système d'exploitation sous-jacent, permettant à Foxit PDF Editor d'utiliser n'importe quel certificat reconnu par le système d'exploitation. Une fois correctement signé, la signature numérique est unique et permet d'identifier le signataire. Le certificat du signataire est cryptographiquement lié au document lors de la signature à l'aide de la clé privée unique détenue par ce signataire. Ces signatures numériques conformes à la norme PDF ouverte sont validées par Foxit PDF Editor, ainsi que l'authenticité des documents qu'elles signent, via un échange d'informations de protocole cryptographique avec les autorités de certification.

Rédaction

L'ensemble des outils de rédaction de Foxit PDF Editor aide les utilisateurs à protéger leurs informations sensibles ou confidentielles. Grâce à ces outils, les utilisateurs peuvent supprimer définitivement les informations textuelles et graphiques des documents. Une fois modifiés, aucun élément ne reste dans le document qui pourrait être récupéré.

Sécurité des applications

Outre la sécurité des documents, chez Foxit, nous reconnaissons que le logiciel lui-même peut être cible d'attaques, c'est pourquoi nous accordons une importance particulière à la sécurité de nos applications. Ainsi, nous avons adopté depuis longtemps des mesures et des processus qui représentent les meilleures pratiques de l'industrie pour garantir la sécurité de nos applications, et nous avons également introduit des fonctionnalités et des capacités dans le logiciel lui-même afin que les utilisateurs puissent se protéger davantage dans des situations spécialisées.

Meilleures pratiques en matière de sécurité

Toutes les solutions PDF de Foxit sont développées sous la supervision d'un processus interne qui intègre diverses meilleures pratiques de l'industrie. Ces pratiques d'ingénierie logicielle couvrent la conception, le développement, les tests et la vérification. Nous simulons en outre des vecteurs d'attaque connus dans des environnements automatisés, afin de garantir que les vulnérabilités de sécurité soient découvertes et corrigées immédiatement dans le processus de développement interne. De plus, nous disposons d'une équipe dédiée d'experts en sécurité expérimentés, qui ont été chargés de manière exclusive de surveiller, de dépanner et de vérifier l'exécution de l'ensemble du processus.

Exécution autorisée de JavaScript

La norme PDF autorise l'insertion de fragments de code JavaScript dans les fichiers PDF. Ces fragments sont dynamiques par nature et peuvent être exécutés lorsque les utilisateurs consultent des documents PDF. Une telle exécution peut avoir des effets néfastes pour l'utilisateur et peut être considérée comme un risque pour la sécurité dans les organisations dotées de normes de sécurité élevées. Pour garantir une sécurité complète dans de telles situations, Foxit PDF Editor et Foxit PDF Reader permettent de désactiver l'exécution de JavaScript pour des utilisateurs individuels ou pour l'ensemble de l'organisation à l'aide de l'ensemble d'outils de déploiement d'entreprise de Foxit PDF Editor et Foxit PDF Reader.

Prévention des attaques inter-domaines

Foxit reconnaît les risques inhérents associés à l'accès aux ressources inter-domaines, une disposition de la norme PDF elle-même, mais qui peut être utilisée par les attaquants pour récupérer des fragments de code malveillant ou d'autres ressources dans le système d'un utilisateur. Par conséquent, Foxit PDF Editor et Foxit PDF Reader ont désactivé cet accès par défaut et avertissent les utilisateurs de ne pas activer cette option sauf dans un environnement où la sécurité peut être complètement assurée par d'autres moyens.

Alertes de sécurité

Pour certains fichiers PDF riches qui doivent effectuer des opérations avancées dans l'environnement de l'utilisateur, Foxit PDF Editor ou Foxit PDF Reader peuvent déterminer que certaines de ces opérations présentent un risque plus élevé et avertiront l'utilisateur et demanderont une confirmation avant de procéder à ces opérations. Exemples:

• Appel d'accès inter-domaines
• Exécution de certains types de méthodes JavaScript
• Injection de données
• Injection de scripts
• Lecture de contenu multimédia hérité intégré.

Ces alertes sont conçues pour être aussi peu intrusives que possible pour l'utilisateur, lui permettant de faire confiance au document et donc de sauter toutes les confirmations ultérieures.

Foxit entretient des relations de travail très étroites avec des groupes de recherche en cybersécurité et des particuliers pour découvrir activement et corriger les vulnérabilités trouvées dans les produits Foxit. (Par exemple, Zero Day Initiative (Trend Micro), Cisco Talos et des professionnels tels que mr_me). La technologie Foxit est utilisée par des géants de la technologie comme Google, Microsoft et Amazon. Dans ces projets, la technologie utilisée dans Foxit PDF Reader/Foxit PDF Editor a été rigoureusement inspectée par des clients et des inspecteurs de sécurité tiers. Foxit a un excellent bilan en matière de correction de toutes les vulnérabilités découvertes dans le délai recommandé par les chercheurs en sécurité. Le temps moyen de correction (~90 jours) est meilleur que la moyenne industrielle (100-120 jours). Foxit dispose d'une équipe dédiée de réponse à la sécurité en service 24h/24 et 7j/7 pour surveiller et répondre aux problèmes de sécurité critiques. Foxit dispose également d'une procédure "green path" pour les correctifs de sécurité critiques.

Sécurité cloud

Les services cloud fournis par Foxit améliorent les capacités et l'expérience utilisateur de la solution Foxit End User Productivity. Ces services sont constamment surveillés pour ce qui concerne la disponibilité, les performances et la sécurité.

Sécurité des centres de données

Tous les services cloud de Foxit sont gérés par notre fournisseur de services cloud de confiance, Amazon Web Services (AWS), qui est un centre de données ANSI de niveau 4 et maintient des contrôles stricts sur l'accès au centre de données, la tolérance aux pannes, les contrôles environnementaux et la sécurité. Seuls les employés Foxit approuvés et autorisés, les employés du fournisseur de services cloud et les contractants disposant d'un secteur d'activité légitime et documenté peuvent accéder au site sécurisé de Virginie (États-Unis), Francfort (Allemagne) et Montréal (Canada).

Cryptage des données et confidentialité

Les services cloud de Foxit sont conçus avec la confidentialité et la sécurité comme priorité élevée. Toutes les transmissions d'informations entre les utilisateurs et les services cloud de Foxit sont entièrement sécurisées par un cryptage AES à 256 bits via le protocole de transport HTTPS.

Les employés de Foxit et les fournisseurs de confiance n'accèdent aux données des clients qu'afin d'exécuter certaines fonctions commerciales et de support, ou selon les exigences légales. Foxit ne fournit à aucun gouvernement un accès direct ou systématique aux données des clients que nous stockons.

Fonctionnement hors réseau

Foxit propose aux utilisateurs et aux organisations la possibilité de fonctionner en mode "hors réseau" complet, dans lequel le logiciel installé par les utilisateurs n'accédera à aucun service cloud. Cette fonctionnalité offre une flexibilité supplémentaire en matière de déploiement et d'exploitation pour les organisations ayant des besoins de sécurité élevés.

Déploiement et administration

Renforcement de la sécurité

En proposant des fonctionnalités et options de configuration liées à la sécurité, telles que la désactivation de l'exécution JavaScript, l'accès aux ressources inter-domaines et l'activation du fonctionnement "hors réseau", Foxit a rendu son logiciel plus résistant aux attaques et peut réduire ou éliminer le besoin de mises à jour de sécurité hors bande, ainsi que réduire l'urgence des mises à jour programmées régulièrement. Cela conduit à une flexibilité opérationnelle, ainsi qu'à une réduction du coût total de possession (TCO), notamment dans les grandes organisations avec des exigences de sécurité élevées.

Prise en charge de Citrix et de la virtualisation d'applications

Foxit PDF Editor prend en charge Citrix XenApp, Citrix XenDesktop, Microsoft App-V et d'autres environnements de virtualisation. Cela permet aux organisations de fournir efficacement un accès distant sécurisé aux utilisateurs.

Prise en charge de Windows Server Group Policy Objects

Les Windows Server Group Policy Objects (GPO) permettent aux administrateurs informatiques d'automatiser la gestion de systèmes informatiques d'un à plusieurs. Foxit PDF Editor prend en charge les modèles Microsoft Active Directory Administrative (ADM) certifiés pour Group Policy, permettant à l'administrateur de fournir une installation de logiciels à la demande et une réparation automatique des applications.

Prise en charge de Microsoft SCCM et SCUP

Foxit PDF Editor et Foxit PDF Reader prennent également en charge Microsoft System Center Configuration Manager (SCCM) pour garantir que les postes de travail Windows sont toujours à jour avec les correctifs de sécurité.

De plus, la prise en charge des catalogues Microsoft System Center Updates Publisher (SCUP) permet aux administrateurs informatiques d'automatiser les mises à jour des installations de logiciels Foxit PDF Editor et Foxit PDF Reader dans toute l'organisation.