Cybermenace aux PDF : 68 % des cyberattaques commencent dans vos e-mails

Plus de 400 milliards de fichiers PDF ont été ouverts l'année dernière, et 16 milliards de documents ont été modifiés dans Adobe Acrobat. Plus de 87 % des organisations utilisent les PDF comme format standard pour la communication professionnelle, ce qui en fait des vecteurs idéaux pour les cybercriminels cherchant à dissimuler du code malveillant. Les PDF malveillants sont depuis longtemps les portes d'entrée préférées des cybercriminels, une menace qui ne cesse de croître.

Des attaques qui arrivent par courriel

Dans une récente étude, les chercheurs de Check Point alertent les utilisateurs sur les risques liés à leur messagerie électronique. D'après cette société spécialisée en cybersécurité, une part importante des menaces informatiques transite par les boîtes mail. Selon Check Point Research, « 68 % des attaques malveillantes sont diffusées par e-mail ». C'est pourquoi ils considèrent que « les cyberattaques commencent dans votre boîte de réception ».

Les experts mettent particulièrement en cause les fichiers PDF, qui figurent parmi les vecteurs d'attaque les plus utilisés à l'échelle mondiale. Devenus omniprésents, ces fichiers représentent « désormais 22 % de toutes les pièces jointes malveillantes » reçues par les utilisateurs.

Des contremesures sophistiquées pour éviter la détection

Les cybercriminels utilisent des contremesures avancées pour contourner la détection, rendant ces attaques de plus en plus difficiles à repérer et à stopper. L'étude de Check Point Research met en évidence de nombreuses campagnes malveillantes passant inaperçues auprès des fournisseurs de sécurité traditionnels, avec zéro détection sur Virus Total au cours de l'année écoulée.

Pourquoi les PDF sont-ils une cible de choix ?

Les PDF sont des fichiers complexes. La spécification PDF, ISO 32000, s'étend sur près de 1 000 pages, offrant une multitude de fonctionnalités exploitables pour l'évasion. Cette complexité ouvre la porte à de nombreux vecteurs d'attaque que certains systèmes de sécurité ne sont pas équipés pour détecter. Les PDF agissent comme des tests CAPTCHA : ils attirent les victimes humaines tout en étant difficiles à détecter par les systèmes automatisés. Cette combinaison unique de simplicité pour l'utilisateur et de complexité pour les systèmes de sécurité rend les PDF malveillants très attractifs pour les cybercriminels, explique l'étude.

Évolution des tactiques d'attaque

Les attaques par PDF ont évolué en sophistication ces dernières années. Autrefois, les cybercriminels exploitaient des vulnérabilités connues dans les lecteurs de PDF (CVEs) pour tirer parti des failles logicielles. Cependant, à mesure que les lecteurs de PDF sont devenus plus sécurisés et fréquemment mis à jour, cette méthode est devenue moins fiable pour les campagnes de masse.

Les attaques reposant sur JavaScript ou d'autres contenus dynamiques intégrés dans les PDF, bien que toujours présentes, sont devenues moins courantes. Les attaques basées sur JavaScript sont souvent « bruyantes » et plus facilement détectées par les solutions de sécurité. Check Point Research a constaté que la plupart des soi-disant « exploits » basés sur JavaScript étaient peu fiables sur différents lecteurs de PDF, avec de nombreux fournisseurs de sécurité capables de les intercepter.

Recours à l'ingénierie sociale

Face à ces défis, les cybercriminels ont adopté une approche plus simple mais efficace : l'ingénierie sociale. Les PDF sont souvent utilisés pour des attaques de phishing car ils sont perçus comme sûrs et fiables. Ces fichiers, généralement considérés comme des documents authentiques, servent de conteneurs flexibles pour dissimuler des liens malveillants, du code ou d'autres contenus nuisibles. En exploitant la familiarité des utilisateurs avec les pièces jointes PDF et en utilisant des tactiques d'ingénierie sociale, les attaquants augmentent leurs chances de tromper les destinataires. De plus, les PDFs peuvent échapper aux systèmes de sécurité des emails qui se concentrent davantage sur la détection de menaces dans d'autres types de fichiers.

Anatomie d'une campagne d'attaque par PDF

L'une des techniques d'attaque par PDF les plus courantes observées par Check Point Research est la campagne basée sur des liens. Ces campagnes sont simples mais incroyablement efficaces. Elles impliquent généralement un PDF contenant un lien vers un site de phishing ou un téléchargement de fichier malveillant. Souvent, le lien est accompagné d'une image ou d'un texte conçu pour inciter la victime à cliquer. Ces images imitent souvent des marques de confiance comme Amazon, DocuSign ou Acrobat Reader, rendant le fichier inoffensif au premier regard.

Ce qui rend ces campagnes difficiles à détecter, c'est que les attaquants contrôlent tous les aspects du lien, du texte et de l'image, ce qui leur permet de modifier facilement n'importe quel élément. Cette flexibilité rend ces attaques résilientes face aux outils de sécurité basés sur la réputation ou les signatures statiques. Bien que ces attaques nécessitent une interaction humaine (la victime doit cliquer sur le lien), cela constitue souvent un avantage pour les attaquants, car les bacs à sable et les systèmes de détection automatisés ont du mal à gérer les tâches nécessitant une décision humaine.