● 01net 📅 13/04/2026 à 15:29

Un PDF suffit à pirater votre PC avec Acrobat Reader, Adobe réagit... 4 mois plus tard

Géopolitique 👤 Naïm Bada
Illustration
© Naïm Bada pour 01net Adobe a mis quatre mois à corriger une faille critique d’Acrobat Reader. Pendant ce temps, des attaquants l’exploitaient déjà pour voler vos données. Adobe vient de publier un correctif d’urgence pour Acrobat Reader, son lecteur PDF installé sur des millions de machines. La faille, référencée CVE-2026-34621, permet à un attaquant d’exécuter du code malveillant à distance. La méthode est d’une simplicité redoutable : il suffit d’ouvrir un document PDF piégé. Cette vulnérabilité est exploitée activement depuis décembre 2025. Ce que la faille permet concrètement La vulnérabilité repose sur un mécanisme dit de « prototype pollution » en JavaScript. Un attaquant peut manipuler les objets internes de l’application pour en prendre le contrôle. Le score de gravité CVSS a d’abord été fixé à 9,6 sur 10, avant d’être révisé à 8,6 après analyse complémentaire. Le chercheur en sécurité Haifei Li, fondateur de la plateforme de détection EXPMON, a été le premier à identifier l’exploitation. Les PDF piégés analysés contenaient des leurres rédigés en russe, liés au secteur pétrolier et gazier. Une fois ouvert dans Adobe Reader, le document déclenche du JavaScript masqué. Le code exploite l’API interne d’Acrobat pour lire des fichiers sur la machine locale. Il exfiltre ensuite ces données vers un serveur distant et récupère des charges malveillantes supplémentaires. Le scénario complet va du vol d’informations à l’exécution de code arbitraire, en passant par une éventuelle sortie du bac à sable du logiciel. Les versions touchées incluent Acrobat DC 26.001.21367 et antérieures, ainsi qu’Acrobat 2024 24.001.30356 et antérieures, sur Windows comme sur macOS. Adobe a publié les correctifs sous le bulletin APSB26-43, classé en priorité de niveau 1. À lire aussi : Meilleur antivirus 2026 – quel est le meilleur choix ? Pourquoi le correctif a mis si longtemps à arriver Des traces d’exploitation remontent à décembre 2025. Le correctif, lui, n’a été publié que le 11 avril 2026. Quatre mois de décalage. Ce n’est pas Adobe qui a détecté le problème, mais un outil indépendant, EXPMON, conçu pour repérer les exploits dans les documents bureautiques. La sophistication de l’attaque explique en partie ce délai. Le premier échantillon analysé agissait comme un outil de profilage. Il évaluait la cible avant de décider s’il déployait la suite de l’attaque. Le serveur distant ne renvoyait pas systématiquement de charge utile. Seules les machines correspondant à certains critères recevaient l’exploit complet. Ce filtrage rendait la détection à grande échelle particulièrement ardue. Un second échantillon a été repéré sur VirusTotal le 23 mars 2026, confirmant la persistance de la menace. Pour les utilisateurs français d’Acrobat Reader, la consigne est limpide : mettre à jour immédiatement. Les versions corrigées sont la 26.001.21411 pour Acrobat DC et la 24.001.30362 pour Acrobat 2024 sous Windows. Quatre mois d’exploitation silencieuse, un correctif tardif et des PDF piégés en circulation : vos documents méritent un peu de méfiance. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Adobemalwarepdf Naïm Bada Sur le même sujet Cyberattaques russes contre l’iPhone : de nouveaux pirates exploitent le kit DarkSword « Un véritable fantôme » : ce virus s’attaque à 850 extensions de navigateur « sans laisser de traces » Vous stockez vos mots de passe dans vos notes ? Ce virus le sait et s’en sert pour vous dépouiller Téléchargée 1 million de fois, cette extension Chrome contenait un malware Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Comparatif des meilleurs stockages cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes Meilleur gestionnaire de mots de passe : le guide en avril 2026 Meilleur VPN gratuit : 7 services à choisir et 2 à fuir Les dernières actualités Mark Zuckerberg veut équiper toute la France : le prix du Meta Quest 3S chute sous les 260€ 🇫🇷 Un PDF suffit à pirater votre PC avec Acrobat Reader, Adobe réagit… 4 mois plus tard Protégez votre logement efficacement avec Verisure Avec Verisure, entamez 2026 en toute sérénité De l’oxygène sur la Lune : cette technologie de Blue Origin pourrait changer la conquête spatiale Apple dit oui aux eGPU sur Mac : une petite révolution pour l’IA, pas pour le gaming Réduisez vos factures d’électricité : le SolarVault 3 Pro Max de Jackery est la solution (-300€) Windows 11 bouscule ses paramètres de stockage et supprime une limitation vieille de 30 ans Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour