Un PDF malveillant exploite une faille d'Adobe Reader pour voler des fichiers locaux

Un PDF piégé circulant depuis novembre 2025 exploite une vulnérabilité non corrigée dans Adobe Reader, permettant le vol de fichiers locaux dès son ouverture. Découvert par le chercheur en cybersécurité Haifei Li, le fichier utilise du code JavaScript chiffré en Base64 pour contourner les protections internes d'Adobe Reader. Malgré l'absence de correctif d'Adobe, la communauté recommande l'utilisation de lecteurs PDF intégrés aux navigateurs pour réduire les risques.

Une attaque sophistiquée sans interaction de la victime

Selon une étude récente, un PDF piégé en circulation peut voler des fichiers locaux sans nécessiter d'action de la part de la victime. Baptisé « yummy_adobe_exploit_uwu.pdf », ce fichier exploite une vulnérabilité dans Adobe Reader, contournant ainsi les protections du logiciel. L'attaque ne demande pas de clic sur un lien ou d'autorisation de macro, mais s'exécute automatiquement une fois le document ouvert.

Une collecte d'informations discrète avant l'attaque

Après son ouverture, le PDF collecte discrètement des informations sur la machine de la victime telles que la version de Windows, la langue du système, ou encore la version d'Adobe Reader. Ces données sont ensuite envoyées aux serveurs des attaquants pour analyse. Si le profil de la machine convient, une seconde charge malveillante peut être déployée. Cette technique de sélection, appelée fingerprinting, permet de cibler spécifiquement les victimes potentiellement intéressantes pour les attaquants.

Mesures de précaution et attente d'un correctif

Malgré les alertes, Adobe n'a pas encore communiqué sur un correctif à venir. En attendant, il est recommandé d'ouvrir les PDF suspects directement dans un navigateur disposant d'un lecteur intégré isolé du système. Il est également possible de désactiver manuellement JavaScript dans les préférences d'Adobe Reader pour réduire les risques d'exploitation.