Oui, un PDF peut contenir du contenu malveillant, et les PDF ont été utilisés comme mécanisme de diffusion de logiciels malveillants dans des attaques réelles. Cela ne signifie pas que tous les PDF sont dangereux ou que vous devriez avoir peur d'ouvrir les PDF que vous recevez. Mais cela signifie que « c'est juste un PDF » ; ce n’est pas une raison pour baisser la garde. Comprendre comment les PDF peuvent être utilisés comme armes vous aide à prendre des décisions éclairées sur les fichiers à ouvrir.
Comment les PDF peuvent contenir du contenu malveillant
Le format PDF prend en charge plusieurs fonctionnalités qui, bien que légitimes lorsqu'elles sont utilisées correctement, créent des surfaces d'attaque lorsqu'elles sont exploitées de manière malveillante :
- JavaScript : les PDF peuvent contenir du JavaScript qui s'exécute à l'ouverture du document. Les utilisations légitimes incluent la validation de formulaire et la navigation interactive. Les utilisations malveillantes incluent l'exploitation des vulnérabilités des lecteurs PDF pour exécuter du code sur le système hôte.
- Fichiers intégrés : les PDF peuvent contenir des fichiers intégrés de tout type, y compris des fichiers exécutables. Un PDF qui vous invite à ouvrir ou à enregistrer une pièce jointe intégrée peut tenter de vous inciter à exécuter un logiciel malveillant.
- Liens externes : les PDF peuvent contenir des hyperliens vers des URL externes. Un lien qui semble pointer vers un site légitime peut rediriger vers un site malveillant qui tente de télécharger des logiciels malveillants ou de voler des informations d'identification.
- Attaques basées sur des exploits : certaines attaques ne nécessitent aucune interaction de l'utilisateur au-delà de l'ouverture du fichier. Ils exploitent les vulnérabilités de versions spécifiques des lecteurs PDF (en particulier les anciennes versions d'Adobe Reader) pour exécuter du code simplement en restituant le document.
Essayez Protect PDF
Aucune installation nécessaire. Fonctionne directement dans votre navigateur.
Le risque en pratique
La grande majorité des PDF que vous rencontrez sont totalement inoffensifs. Documents commerciaux, factures, rapports, formulaires, brochures : aucun d’entre eux ne contient de contenu malveillant. La menace est spécifique : les PDF envoyés sous forme de pièces jointes ou de liens dans des e-mails de phishing, en particulier ceux qui arrivent non sollicités, semblent provenir d'une source fiable ou créent une urgence pour les ouvrir immédiatement.
Le scénario le plus risqué est une pièce jointe PDF dans un e-mail inattendu provenant d'un expéditeur inconnu ou suspect, en particulier si l'e-mail vous demande d'activer des fonctionnalités, d'ouvrir un fichier intégré ou de cliquer sur un lien pour vérifier quelque chose. Ce modèle est la marque des attaques de phishing basées sur PDF.
Qu'est-ce qui rend un PDF plus sûr ou plus risqué à ouvrir
Ouverture plus sûre :
- PDF provenant de sources connues et attendues : une facture d'un fournisseur avec lequel vous travaillez, un rapport d'un collègue, un document que vous avez demandé
- Les PDF ouverts dans une visionneuse de navigateur plutôt que dans une application de bureau complète : les visionneuses PDF du navigateur ont un environnement d'exécution plus restreint.
- PDF pour lesquels JavaScript est désactivé dans votre lecteur PDF — Adobe Reader l'autorise dans Préférences > Javascript
Risque plus élevé :
- PDF inattendus provenant d'expéditeurs inconnus, en particulier avec des lignes d'objet urgentes
- PDF qui vous invitent à activer le contenu, à cliquer pour l'activer ou à télécharger un fichier intégré
- PDF à partir de liens dans des e-mails non sollicités, même si l'expéditeur semble familier : les adresses des expéditeurs peuvent être usurpées
Protections pratiques
- Gardez votre lecteur PDF à jour : la plupart des attaques PDF basées sur des exploits ciblent les vulnérabilités connues dans les anciennes versions du lecteur. Les versions actuelles les corrigent au fur et à mesure de leur découverte.
- Désactiver JavaScript dans Adobe Reader : Modifier > Préférences > Javascript > décochez « Activer Acrobat JavaScript ». Cela élimine toute une classe d’attaques sans affecter la fonctionnalité PDF la plus légitime.
- Ouvrez des PDF suspects dans un navigateur : Les visionneuses PDF intégrées à Chrome et Firefox s'exécutent dans un environnement sandbox qui limite les actions du contenu malveillant, même s'il s'exécute.
- Analyser les pièces jointes avant de les ouvrir : la plupart des logiciels antivirus analysent automatiquement les pièces jointes des e-mails. Pour les fichiers provenant de sources inconnues, une analyse manuelle avant ouverture ajoute une couche de vérification.
Ce que cela signifie pour les outils PDF en ligne
Les services PDF Tools en ligne réputés, notamment WukongPDF sur www.wukongpdf.com, traitent les PDF côté serveur dans des environnements isolés. Le problème de sécurité va dans l'autre sens : un PDF malveillant téléchargé sur un tel service présente un risque pour l'infrastructure du service, pas pour vous. Pour votre propre sécurité, le problème concerne les PDF que vous recevez et ouvrez, et non les PDF que vous téléchargez vers un service de traitement fiable.
La vision équilibrée
Les PDF peuvent contenir des logiciels malveillants. La grande majorité ne le fait pas. Le risque est concentré dans des scénarios spécifiques – pièces jointes inattendues, demandes urgentes, expéditeurs inconnus – qui sont identifiables avec un instant d'attention. Gardez votre lecteur à jour, désactivez JavaScript dans Adobe Reader, appliquez le même scepticisme aux PDF inattendus que vous appliqueriez aux fichiers exécutables inattendus, et le risque pratique est minime pour la plupart des utilisateurs.
Essayez Protect PDF
Aucune installation nécessaire. Fonctionne directement dans votre navigateur.