Les fichiers PDF sont un vecteur d'attaque privilégié des cybercriminels. Selon Check Point, 68% des cyberattaques passent par e-mail, et 22% de ces menaces se dissimulent dans des documents PDF.

Les PDF malveillants continuent de pulluler dans nos messageries © Alexandre Boero / Clubic
Les PDF malveillants continuent de pulluler dans nos messageries © Alexandre Boero / Clubic

Le désormais incontournable format PDF, utilisé par 87% des entreprises, est devenu l'un des outils favoris des pirates informatiques. Selon une étude du spécialiste Check Point publiée jeudi, plus de deux tiers des cyberattaques transitent par e-mail. Parmi ces menaces, 22% utilisent des fichiers PDF en pièce jointe. La tendance, forcément inquiétante, s'explique par la confiance excessive que l'on accorde à ce format dans la vie de tous les jours, et par la plus grande sophistication des techniques d'attaque, qui contournent les systèmes de sécurité classiques.

Des documents PDF apparemment inoffensifs, mais redoutablement efficaces

Imaginez que l'an dernier, ce sont plus de 400 milliards de fichiers PDF qui ont été ouverts dans le monde, dont 16 milliards modifiés avec Adobe Acrobat. La popularité très importante du PDF fait de lui une cible idéale pour les cybercriminels, qui exploitent la réputation de fiabilité dont jouit le format dans l'environnement professionnel.

Les pirates ont beaucoup affiné leurs approches. Il faut savoir qu'au lieu d'exploiter des vulnérabilités techniques (les fameuses CVE) comme auparavant, ils misent désormais sur l'ingénierie sociale, une méthode plus simple mais également plus difficile à détecter par les outils de sécurité traditionnels, puisqu'elle joue davantage sur le ressort psychologique.

Pourquoi cette évolution, vous demandez-vous peut-être ? Check Point l'explique par le durcissement des mesures de protection intégrées aux lecteurs PDF modernes. Les hackers se sont adaptés en créant des documents malveillants capables de passer sous le radar des analyses de sécurité, certains échappant même totalement à la détection sur VirusTotal pendant plusieurs mois.

Des techniques d'évasion de plus en plus sophistiquées

Les cybercriminels utilisent plusieurs méthodes pour dissimuler leurs intentions malveillantes. Parmi les plus répandues figure la redirection, en passant par des services légitimes comme LinkedIn, Bing ou les URL AMP de Google, qui leur permettent de masquer la véritable destination d'un lien. D'autres préfèrent intégrer des codes QR à scanner avec un smartphone, pour passer outre les filtres de détection d'URL.

L'obscurcissement volontaire des fichiers PDF est une autre tactique efficace. Les attaquants utilisent le chiffrement, des filtres ou des objets indirects pour masquer le contenu réel. Même s'ils paraissent corrompus, la majorité des lecteurs PDF sont conçus pour ignorer les anomalies mineures et privilégier l'affichage du document.

La manipulation des systèmes d'intelligence artificielle est aussi en hausse. Les pirates intègrent du texte dans des images plutôt qu'en texte brut, ce qui oblige les systèmes à utiliser la reconnaissance optique de caractères, une étape plus complexe et sujette aux erreurs. Certains dégradent volontairement la qualité des images pour tromper les algorithmes de détection.

Comment se protéger des attaques par e-mail et fichier PDF ?

Le premier conseil à suivre pour ne pas tomber dans le piège pourrait tout simplement d'être très vigilant face aux pièces jointes PDF inattendues, même si elles semblent provenir d'expéditeurs connus. Prenez toujours le temps d'examiner l'adresse e-mail complète de l'expéditeur, et méfiez-vous des offres trop alléchantes ou des demandes urgentes d'action. Ces éléments sont d'ailleurs souvent des indices révélateurs d'une tentative de phishing.

Parmi les autres recommandations, on ne peut que vous encourager à utiliser des lecteurs PDF modernes, et de les maintenir à jour. Privilégiez les lecteurs intégrés aux navigateurs qui fonctionnent dans des environnements sécurisés (sandbox) et, quand c'est possible, désactivez JavaScript dans vos paramètres de lecture PDF. Cette simple précaution élimine une grande partie des risques liés aux scripts malveillants.

Enfin, si vous en avez la possibilité, ne vous privez pas d'investir dans une solution de sécurité conçue pour détecter les menaces dites « zero day ». Ces outils analysent les comportements suspects, plutôt que de se fier uniquement aux signatures connues. De quoi s'offrir une protection plus robuste contre les PDF malveillants qui échappent aux antivirus traditionnels.