Depuis début 2024, les chercheurs de Check Point identifient une recrudescence des cyberattaques par PDF qui devient le premier vecteur d’attaque par pièce jointe.

Il faut rappeler que l’e-mail reste le premier vecteur de menace des cyberattaques (90 % des attaques observées commencent par un e-mail). Les e-mails malveillants se présentent sous plusieurs formes, mais un grand nombre d’entre eux incluent des fichiers malveillants ou des pièces jointes (rtf, docx, exe, xls,…).

Par exemple, en avril 2024, en moyenne 1 pièce jointe sur 246 e-mails et 1 lien sur 287 sont malveillants. 62 % de tous les fichiers malveillants répertoriés ont été transmis par e-mail au cours du mois écoulé.

Le rapport de Check Point apporte des précisions sur la part des cyberattaques par PDF depuis le début de l’année 2024.

• Dans le monde

En 2024, les PDF deviennent le principal vecteur de pièces jointes malveillantes, représentant par exemple près de trois quarts (69,1%) des fichiers malveillants identifiés sur avril 2024.

Ce chiffre marque une progression spectaculaire par rapport à 2023, où ils ne représentaient que 20% de l’ensemble des fichiers malveillants observés par mois, et 16% en 2022.

Les services de santé sont les plus touchés, puisque 83% de tous les fichiers malveillants sont des PDF.

• En Europe

Depuis début 2024, les PDF ont représenté 70% des fichiers malveillants envoyés par e-mail, en moyenne selon la période observée en 2024, plaçant le continent en tête des 4 grandes régions observées (Amérique du Nord : 50%, Amérique latine : 26%, Asie – Pacifique : 8%).

En avril 2024, la France arrive en tête, les PDF ayant représenté 73% des fichiers malveillants envoyés par email.

Sur la même période, cette part est de 25% au Royaume-Uni, 23% en Espagne, 20% en Allemagne, 9% en Italie, 9% au Portugal, 13% en Norvège, 7% en République tchèque, 6% en Pologne, 64% au Danemark… et donc 73% en France.

Les PDF sont un véritable défi pour plusieurs raisons. Dans la plupart des scanners de sécurité classiques, ce type de fichiers simples sont analysés à l’aide de signatures. Elles permettent de repérer les fichiers suspects et d’éviter l’introduction de malwares.

Mais les pirates informatiques le savent et ont remonté le niveau du jeu. Dans les PDF, par exemple, les acteurs malveillants peuvent intégrer des éléments tels que des URL, des scripts ou du contenu caché pour éviter ces contrôles simples.

La puissance du deep learning dans l’analyse des PDF pour être un moyen de prévenir les cybermenaces.

Pour contribuer à lutter contre ce problème, c’est là qu’entrent en jeu des solutions avec des moteurs alimentés par l’intelligence artificielle telles que «Deep PDF». Ce moteur transcende les méthodes de détection traditionnelles grâce à des algorithmes de deep learning qui analysent l’ensemble de la structure d’un document PDF.

Ces outils permettent notamment d’analyser :

• la structure interne du PDF ;
• les images intégrées et leur emplacement ;
• les URL intégrées et leur contexte dans le document ;
• le contenu brut du PDF.

Lecteur gratuit de fichiers PDF, Foxit PDF Reader compte plus de 700 millions d’utilisateurs dans le monde. Son utilisation massive démultiplie les risques associés à cette vulnérabilité. Des acteurs de la menace se sont servis des vulnérabilités de ces lecteurs PDF comme d’une arme pour diffuser des malwares et réaliser des opérations d’espionnage.

Cette attaque utilise les défauts de conception des messages d’avertissement de Foxit PDF Reader, déclenchés lors du processus d’analyse du fichier de Foxit PDF Reader et capitalise sur les lacunes dans la conception des messages d’avertissements du logiciel, qui, par défaut, activent les options les plus dangereuses.

Les utilisateurs ont tendance à ignorer ces alertes et à opter pour les paramètres par défaut. Lorsqu’un utilisateur négligeant sélectionne plusieurs fois ces options par défaut, l’exploit est activé et permet de télécharger et d’exécuter une charge utile depuis un serveur distant. Les acteurs de la menace anticipent ces comportements humains pour pénétrer dans les systèmes et en compromettre la sécurité.

« La découverte de cette vulnérabilité dans Foxit PDF Reader montre que les acteurs de la menace sont capables d’utiliser des outils simples et classiques, tels que les vulnérabilités des lecteurs PDF, et se servent de leur expertise et de leur compréhension des comportement humains pour voler les informations d’accès et les actifs des entreprises. C’est en restant informés, vigilants et en prenant des mesures de sécurité solides que les utilisateurs pourront déjouer les intrusions et les attaques et minimiser les risques que représentent ces vulnérabilités » conclut Xavier Duros, expert sécurité Check Point France.