• Hameçonnage par PDF : comment les cybercriminels exploitent les documents PDF dans les attaques par e-mail actuelles

Hameçonnage par PDF : comment les cybercriminels exploitent les documents PDF dans les attaques par e-mail actuelles

Blog

Découvrez comment fonctionne le phishing par PDF, comment les pirates dissimulent des liens malveillants et des formulaires de saisie d'identifiants dans les fichiers PDF, et comment vous protéger contre les attaques par e-mail utilisant des fichiers PDF.

par Ahona Rudra

Dernière mise à jour :
9 Temps de lecture : 9 min
Hameçonnage par PDF : comment les cybercriminels exploitent les documents PDF dans les attaques par e-mail actuelles
Table des matières-

Points clés à retenir

  • Le phishing par PDF est une technique d'attaque par e-mail en pleine expansion, dans laquelle les cybercriminels dissimulent des liens malveillants, des codes QR ou des formulaires de saisie d'identifiants dans des pièces jointes au format PDF d'apparence légitime.
  • Les pirates exploitent la confiance que les gens accordent aux fichiers PDF en déguisant leurs documents de hameçonnage en factures, contrats, formulaires RH ou avis de livraison afin d'inciter les utilisateurs à interagir avec eux.
  • Les éléments malveillants contenus dans les fichiers PDF, tels que les URL intégrées, les codes QR, les boutons et les scripts, peuvent rediriger les victimes vers des sites destinés à récupérer leurs identifiants, ce qui permet la prise de contrôle de comptes, la fraude financière ou le piratage des e-mails professionnels.
  • Ces attaques sont plus difficiles à détecter, car de nombreux outils de sécurité se concentrent sur les liens présents dans le corps des e-mails plutôt que d'analyser en profondeur les pièces jointes et les actions qu'elles contiennent.
  • La lutte contre le phishing par PDF nécessite une approche à plusieurs niveaux, comprenant une authentification solide des e-mails (SPF, DKIM, DMARC), un sandboxing avancé des pièces jointes, la protection des URL et une formation continue des employés à la sensibilisation à la sécurité.

Les fichiers PDF sont les outils incontournables du monde des affaires moderne. Ils ont un aspect officiel, sont faciles à partager et jouissent d'une confiance universelle pour les contrats, les factures, les formulaires RH et les rapports financiers. C'est précisément cette familiarité qui en a fait l'une des armes les plus redoutables de l'arsenal des cybercriminels.

Cela a entraîné une recrudescence rapide du phishing par PDF, une technique qui consiste à utiliser des fichiers PDF d'apparence inoffensive pour contourner les systèmes de défense et inciter les victimes à divulguer leurs identifiants. Ce guide complet explique le fonctionnement du phishing par PDF, les raisons de son efficacité, les dernières techniques utilisées par les pirates, ainsi que les mesures concrètes que votre organisation doit prendre pour s'en protéger.

Qu'est-ce que le phishing par PDF ?

Le phishing par PDF est un type de cyberattaque dans lequel un fichier PDF malveillant est envoyé en pièce jointe d'un e-mail. Contrairement au phishing traditionnel, où le corps de l'e-mail contient un lien frauduleux, le phishing par PDF intègre le vecteur d'attaque directement dans le document. L'objectif reste le même : inciter le destinataire à divulguer des informations sensibles telles que des identifiants de connexion, des données financières ou des informations personnelles.
Ces attaques sont conçues pour se fondre parfaitement dans les opérations commerciales quotidiennes, se faisant souvent passer pour :

  • Factures en souffrance ou confirmations de paiement
  • Commandes urgentes
  • Accords juridiques ou contrats nécessitant une signature
  • Documents RH tels que les récapitulatifs des avantages sociaux ou les mises à jour relatives à la paie
  • Notifications d'expédition ou alertes de livraison échouée

Dans le fichier PDF, les pirates ont recours à diverses méthodes – liens hypertextes intégrés, formulaires à remplir ou codes QR – pour rediriger les victimes vers de faux sites web, pourtant très convaincants, destinés à récupérer leurs identifiants.

Dès qu'une victime saisit ses informations, les conséquences peuvent être graves :

  • Prise de contrôle de comptes de messagerie : les pirates accèdent aux communications internes
  • Fraude financière : ils peuvent effectuer des virements bancaires frauduleux ou modifier les coordonnées bancaires utilisées pour les virements automatiques.
  • Usurpation d'identité par e-mail (BEC) : le compte piraté est utilisé pour cibler d'autres employés, partenaires ou clients.
  • Usurpation d'identité : les données personnelles volées peuvent être vendues ou utilisées pour commettre d'autres délits.
  • Mouvement latéral : le compte compromis sert de point d'ancrage pour déployer des logiciels malveillants ou des ransomwares plus dangereux au sein du réseau.

Pourquoi les pirates préfèrent-ils les pièces jointes au format PDF ?

Le passage au phishing par PDF n'est pas le fruit du hasard ; il s'agit d'une stratégie mûrement réfléchie qui tient compte du renforcement de la sécurité des e-mails et de la psychologie humaine.

1. Tirer parti de la confiance et du professionnalisme qui nous caractérisent

Les fichiers PDF constituent la norme en matière de documentation officielle. Lorsqu'un employé reçoit une pièce jointe au format PDF provenant apparemment d'un fournisseur ou d'un collègue connu, il baisse naturellement sa garde. Les pirates exploitent cette confiance en reproduisant minutieusement les logos, les polices et le style rédactionnel de l'entreprise afin de rendre leurs faux documents impossibles à distinguer des originaux.

2. Déplacer la surface d'attaque vers la pièce jointe

De nombreuses passerelles de sécurité de messagerie sont très efficaces pour analyser le texte et les liens contenus dans le corps d'un e-mail. Cependant, l'analyse du contenu d'une pièce jointe est plus complexe et nécessite davantage de ressources. En dissimulant le lien malveillant dans un fichier PDF, les pirates parviennent à déplacer la surface d'attaque vers un endroit susceptible de faire l'objet d'une surveillance moins attentive. L'e-mail lui-même peut paraître anodin, ne contenant qu'une simple ligne du type : « Vous trouverez ci-joint le document demandé. »

3. Cacher la charge utile à la vue de tous

Les fichiers PDF comportent plusieurs niveaux dans lesquels un lien malveillant peut être dissimulé :

  • Texte contenant un lien : une phrase apparemment inoffensive telle que « Cliquez ici pour consulter la facture » renvoie vers un site malveillant.
  • Boutons et éléments interactifs : les boutons intégrés peuvent être programmés pour ouvrir une URL lorsqu'on clique dessus.
  • Superpositions graphiques : les pirates peuvent placer un lien invisible sur l'image d'un bouton, de sorte que tout clic sur cette zone déclenche la redirection.
  • Codes QR intégrés : cette technique, connue sous le nom de « quishing », connaît un essor rapide. Elle contourne complètement l'analyse des liens, car l'URL est encodée dans une image et n'apparaît jamais sous forme de texte.

4. Contournement des contrôles de réputation des URL

Lorsqu'un utilisateur clique sur un lien dans un e-mail, celui-ci est souvent vérifié en temps réel par rapport à une liste de sites malveillants connus. Lorsqu'un utilisateur scanne un code QR à partir d'un fichier PDF sur son appareil mobile, cette vérification en temps réel peut ne pas avoir lieu, ou bien elle se produit en dehors du périmètre de sécurité de l'entreprise, ce qui permet à l'attaque de réussir.

Comment fonctionne le phishing par PDF

Comprendre les mécanismes sous-jacents permet de mettre en place de meilleures défenses.

Anatomie d'un vecteur d'attaque PDF malveillant

La structure d'un fichier PDF malveillant

Un fichier PDF est essentiellement un conteneur qui regroupe du texte, des polices, des images et des éléments interactifs. Les pirates exploitent cette structure de plusieurs façons :

  • L'action /OpenAction : il s'agit d'un élément clé de la spécification PDF qui permet à un document d'exécuter automatiquement une action à son ouverture, comme l'ouverture d'un site web. Bien que les lecteurs PDF modernes avertissent généralement les utilisateurs avant d'exécuter cette action, les pirates peuvent l'associer à des techniques d'ingénierie sociale, par exemple : « Appuyez sur OK pour consulter le document sécurisé. »
  • Actions URI (Uniform Resource Identifier) : il s'agit de la méthode la plus courante. Une chaîne de texte ou un objet contenu dans le fichier PDF se voit attribuer une action URI. Lorsqu'un utilisateur interagit avec cet élément, le lecteur PDF lance le navigateur par défaut et ouvre le lien intégré.
  • JavaScript : les fichiers PDF peuvent contenir du code JavaScript intégré. Bien qu'il soit souvent utilisé pour des formulaires interactifs légitimes, les pirates peuvent s'en servir pour manipuler le document, masquer des éléments ou déclencher des redirections d'une manière plus difficile à détecter par les outils d'analyse statique.

Les signatures numériques dans les fichiers PDF : une confiance susceptible d'être détournée

Les fichiers PDF contiennent souvent des signatures numériques, qui sont des marqueurs cryptographiques servant à vérifier l'identité du signataire et à confirmer que le document n'a pas été altéré. Dans les processus opérationnels légitimes, les fichiers PDF signés numériquement sont utilisés pour les contrats, les documents d'appel d'offres, les rapports de conformité et les validations financières, car ils offrent une garantie d'inviolabilité.

Les pirates exploitent parfois la confiance que suscitent les signatures PDF dans leurs campagnes de phishing. Un fichier PDF malveillant peut afficher ce qui semble être un bloc de signature valide, un cachet d'entreprise ou une bannière indiquant « document vérifié » afin de convaincre les destinataires de l'authenticité du fichier. En réalité, cette signature visible peut n'être qu'une simple image ou un graphique, et non une véritable signature cryptographique. Comme de nombreux utilisateurs associent les documents signés à la légitimité, cette astuce visuelle peut rendre les fichiers PDF de phishing bien plus convaincants.
C'est pourquoi les organisations doivent former leurs employés à vérifier les signatures à l'aide des outils de validation de signature de leur lecteur PDF, plutôt que de se fier uniquement aux images de signature visibles.

Techniques courantes de hameçonnage par PDF et exemples

Les pirates informatiques ne cessent d'innover, mais certaines techniques restent très répandues.

Techniques et exemples de hameçonnage par PDF

1. La fausse facture avec un bouton « Afficher le document »

C'est un grand classique. L'objet de l'e-mail est urgent : « Facture en souffrance de [Nom du fournisseur] ». Le fichier PDF joint présente un récapitulatif de facture d'aspect professionnel, mais les détails sont flous ou manquants. Un gros bouton bien visible indique « VOIR LA FACTURE » ou « TÉLÉCHARGER LE PDF ». En cliquant sur ce bouton, vous accédez à une page de phishing imitant Microsoft 365, Google Drive ou le portail du fournisseur, conçue pour voler vos identifiants.

2. L'invite de connexion « Document sécurisé »

Cette technique exploite le sentiment de sécurité de l'utilisateur. Le fichier PDF affiche un message du type : « Ce document est protégé par un mot de passe. Veuillez vous connecter à l'aide de votre adresse e-mail pour vérifier votre identité et consulter le contenu. » En dessous figure un formulaire de connexion intégré directement dans le PDF. Lorsqu'un utilisateur saisit ses identifiants, les données sont soit transmises à un serveur contrôlé par le pirate, soit le fichier PDF lui-même peut être conçu pour exfiltrer les données dès que l'on clique sur le bouton « Soumettre ».

3. Hameçonnage par code QR (« quishing »)

Il s'agit d'une technique de piratage qui se répand rapidement. Un fichier PDF peut contenir une notification concernant une nouvelle politique d'entreprise ou une mise à jour relative à l'authentification à deux facteurs (2FA), accompagnée d'un code QR que les employés sont invités à scanner avec leur téléphone. Le scan du code redirige vers une page de connexion falsifiée. Comme l'utilisateur se trouve sur son appareil personnel, celui-ci peut ne pas disposer des contrôles de sécurité de l'entreprise, et l'URL d'origine étant masquée, il est difficile de la reconnaître comme malveillante.

4. Attaques hybrides combinant VBA et PDF

Dans les campagnes plus sophistiquées, un fichier PDF peut contenir un lien qui ne redirige pas directement vers une page de phishing. Au lieu de cela, il déclenche le téléchargement d’un fichier, tel qu’un fichier .docm (document Word contenant des macros). Ce document exécute alors un script qui télécharge la page de phishing finale ou la charge utile du logiciel malveillant. Cette approche en plusieurs étapes permet d’échapper à la détection initiale.

Pourquoi le phishing par PDF est plus difficile à détecter

Le passage au format PDF constitue un angle mort important pour de nombreuses organisations.

  • Angles morts de la détection : de nombreux filtres de messagerie traditionnels sont optimisés pour l'analyse textuelle. Ils ont du mal à analyser la structure binaire d'un fichier PDF, à extraire tous les liens intégrés, puis à analyser le contenu des pages vers lesquelles ces liens renvoient.
  • Le masquage est facile : les pirates peuvent facilement masquer les URL. Un lien peut être fragmenté puis réassemblé à l'aide de JavaScript, ou l'URL peut être dissimulée derrière un encodage non standard au sein du fichier PDF.
  • Le problème des « bons » PDF : les supports marketing, les newsletters et les documents professionnels légitimes sont souvent envoyés sous forme de fichiers PDF contenant des liens intégrés. Les outils de sécurité doivent faire la distinction entre un PDF inoffensif provenant d'un expéditeur connu et un fichier malveillant provenant d'un usurpateur d'identité, une tâche qui nécessite une analyse contextuelle avancée.
  • Évasion en plusieurs étapes : il se peut que l'URL malveillante ne soit pas active au moment de l'analyse. Les pirates peuvent mettre en place une page qui affiche un message inoffensif du type « En cours de construction » aux robots d'analyse de sécurité, mais qui redirige les utilisateurs réels vers un site de phishing quelques instants plus tard.

Signes avant-coureurs : comment repérer un fichier PDF malveillant

Apprendre aux employés à faire preuve de scepticisme constitue la dernière ligne de défense. Il faut leur apprendre à repérer :

  • Expéditeurs inattendus : une facture provenant d'une entreprise avec laquelle vous n'avez pas de relations commerciales, ou un document des ressources humaines alors que ce n'est pas la période d'inscription.
  • Formules d'appel génériques : le fichier PDF peut s'ouvrir par « Cher client » ou « Cher utilisateur » au lieu de votre nom.
  • Urgence et peur : des formulations telles que « Votre compte sera suspendu » ou « Paiement immédiat requis » constituent une tactique classique de hameçonnage.
  • Demandes d'identifiants de connexion : les entreprises légitimes ne vous demandent pratiquement jamais de saisir votre mot de passe pour consulter un document partagé.
  • Liens trompeurs : sur un ordinateur, passez la souris sur n'importe quel lien ou bouton du fichier PDF sans cliquer. L'URL de destination réelle s'affichera dans la barre d'état de votre lecteur PDF. Si le texte indique « Voir la facture » mais que le lien pointe vers un domaine suspect ou mal orthographié (par exemple, secure-login.company-update[.]com), il s'agit d'une tentative d'hameçonnage.
  • Messages inhabituels : si le fichier PDF vous demande d'activer des fonctionnalités, d'exécuter des macros ou de l'autoriser à se connecter à un service externe, méfiez-vous fortement.

Comment les entreprises peuvent prévenir le phishing par PDF

Une défense proactive et à plusieurs niveaux est nécessaire pour lutter contre cette menace.

1. Renforcez la sécurité de votre périmètre grâce à l'authentification des e-mails

Mettez en place des protocoles d'authentification des e-mails afin d'empêcher l'usurpation de domaine.

  • SPF (Sender Policy Framework) : Spécifie quels serveurs sont autorisés à envoyer des e-mails depuis votre domaine.
  • DKIM (DomainKeys Identified Mail) : ajoute une signature numérique à vos e-mails afin de vérifier qu'ils n'ont pas été altérés.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance) : indique aux serveurs destinataires comment réagir si un e-mail prétendant provenir de votre domaine échoue aux vérifications SPF DKIM (par exemple, le quarantine le rejeter). Cela complique considérablement la tâche des pirates qui tenteraient de se faire passer pour vos marques de confiance.

2. Déployer un système avancé de mise en bac à sable et d'analyse des pièces jointes

Votre passerelle de sécurité de messagerie doit aller au-delà de la simple analyse des fichiers. Recherchez des solutions qui offrent :

  • Analyse syntaxique des PDF et extraction des liens : l'outil doit ouvrir le fichier PDF dans un environnement virtuel sécurisé (« bac à sable ») afin d'extraire et d'analyser toutes les URL, tous les boutons et tous les scripts intégrés.
  • Vision par ordinateur : les outils basés sur l'IA peuvent utiliser la vision par ordinateur pour « lire » le texte figurant sur une image PDF (comme un code QR ou un bouton) et l'analyser afin de détecter toute intention malveillante, exactement comme le ferait un être humain.
  • Analyse comportementale : le bac à sable peut cliquer sur chaque lien pour voir où il mène, et analyser la page de destination finale à la recherche d'indices de collecte d'identifiants.

3. Mettre en place une protection efficace des URL

Assurez-vous que vos outils de sécurité offrent une protection des liens en temps réel qui va au-delà du simple clic initial. Même si un utilisateur clique sur un lien dans un fichier PDF, la solution doit comparer l'URL de destination aux données de veille sur les menaces mises à jour et bloquer l'accès si celle-ci s'avère malveillante.

4. Formation continue à la sensibilisation à la sécurité pour les employés

La technologie n'est pas une solution miracle. Il est essentiel de proposer régulièrement des formations captivantes.

  • Campagnes de phishing simulées : envoyez à vos employés de faux e-mails de phishing contenant des fichiers PDF afin de tester leur vigilance et de leur fournir un retour d'information immédiat.
  • Modules de formation spécifiques : Créez des formations consacrées spécifiquement au « quishing », à la manière de passer la souris sur les liens dans les fichiers PDF et à la manière de signaler les pièces jointes suspectes.
  • Des mécanismes de signalement clairs : permettez aux employés de signaler très facilement les e-mails suspects d'un simple clic (par exemple, grâce à un bouton « Signaler une tentative d'hameçonnage » dans Outlook).

5. Recherche proactive des menaces

Surveillez les nouveaux domaines enregistrés qui ressemblent au nom de votre entreprise ou à celui de vos principaux fournisseurs. Les pirates créent souvent ces domaines peu avant de lancer une campagne. Surveillez également votre marque en ligne afin de repérer les fausses pages de connexion conçues pour dérober les identifiants de vos employés.

En conclusion

Le phishing par PDF constitue une menace redoutable et croissante, car il exploite notre confiance dans un format de fichier omniprésent. En déplaçant la charge malveillante du corps du courriel vers la pièce jointe, les pirates ont trouvé un moyen efficace de contourner les défenses traditionnelles et de piéger même les utilisateurs les plus prudents.

Pour venir à bout de cette menace, il faut mettre en place une stratégie moderne de défense en profondeur. Les entreprises doivent aller au-delà du simple filtrage des e-mails et investir dans l'analyse avancée des pièces jointes, la recherche proactive des menaces et une culture de sensibilisation à la sécurité où chaque employé joue un rôle essentiel de capteur. Dans ce jeu du chat et de la souris en constante évolution qu'est la cybersécurité, comprendre comment les attaquants exploitent à des fins malveillantes des outils courants tels que les fichiers PDF constitue la première étape, et la plus importante, pour mettre en place une défense résiliente.

Derniers messages de Ahona Rudra (voir tous)
Dernière mise à jour :
Le rôle de la formation en ligne en entreprise dans la simulation d'hameçonnage« Gmail-Verified » vs « Google-Verified »« Gmail Verified » ou « Google Verified » : quelle est la différence ?