Adobe a mis quatre mois à corriger une faille critique d’Acrobat Reader. Pendant ce temps, des attaquants l’exploitaient déjà pour voler vos données.
Adobe vient de publier un correctif d’urgence pour Acrobat Reader, son lecteur PDF installé sur des millions de machines. La faille, référencée CVE-2026-34621, permet à un attaquant d’exécuter du code malveillant à distance. La méthode est d’une simplicité redoutable : il suffit d’ouvrir un document PDF piégé. Cette vulnérabilité est exploitée activement depuis décembre 2025.
Ce que la faille permet concrètement
La vulnérabilité repose sur un mécanisme dit de « prototype pollution » en JavaScript. Un attaquant peut manipuler les objets internes de l’application pour en prendre le contrôle. Le score de gravité CVSS a d’abord été fixé à 9,6 sur 10, avant d’être révisé à 8,6 après analyse complémentaire. Le chercheur en sécurité Haifei Li, fondateur de la plateforme de détection EXPMON, a été le premier à identifier l’exploitation. Les PDF piégés analysés contenaient des leurres rédigés en russe, liés au secteur pétrolier et gazier. Une fois ouvert dans Adobe Reader, le document déclenche du JavaScript masqué.
Le code exploite l’API interne d’Acrobat pour lire des fichiers sur la machine locale. Il exfiltre ensuite ces données vers un serveur distant et récupère des charges malveillantes supplémentaires. Le scénario complet va du vol d’informations à l’exécution de code arbitraire, en passant par une éventuelle sortie du bac à sable du logiciel. Les versions touchées incluent Acrobat DC 26.001.21367 et antérieures, ainsi qu’Acrobat 2024 24.001.30356 et antérieures, sur Windows comme sur macOS. Adobe a publié les correctifs sous le bulletin APSB26-43, classé en priorité de niveau 1.
À lire aussi : Meilleur antivirus 2026 – quel est le meilleur choix ?
Pourquoi le correctif a mis si longtemps à arriver
Des traces d’exploitation remontent à décembre 2025. Le correctif, lui, n’a été publié que le 11 avril 2026. Quatre mois de décalage. Ce n’est pas Adobe qui a détecté le problème, mais un outil indépendant, EXPMON, conçu pour repérer les exploits dans les documents bureautiques. La sophistication de l’attaque explique en partie ce délai. Le premier échantillon analysé agissait comme un outil de profilage. Il évaluait la cible avant de décider s’il déployait la suite de l’attaque. Le serveur distant ne renvoyait pas systématiquement de charge utile. Seules les machines correspondant à certains critères recevaient l’exploit complet.
Ce filtrage rendait la détection à grande échelle particulièrement ardue. Un second échantillon a été repéré sur VirusTotal le 23 mars 2026, confirmant la persistance de la menace. Pour les utilisateurs français d’Acrobat Reader, la consigne est limpide : mettre à jour immédiatement. Les versions corrigées sont la 26.001.21411 pour Acrobat DC et la 24.001.30362 pour Acrobat 2024 sous Windows. Quatre mois d’exploitation silencieuse, un correctif tardif et des PDF piégés en circulation : vos documents méritent un peu de méfiance.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.