Pourquoi vous ne devriez jamais ouvrir un fichier PDF de provenance inconnue

Les fichiers PDF peuvent, eux aussi, être malveillants. De bien des manières. Gare si vous en recevez sur votre appareil.

Nous recevons tous du spam par SMS. Beaucoup de spam. La plupart sont immédiatement reconnaissables : le numéro de la source n’est pas familier et le message donne rarement matière à hésiter. Ces derniers temps, un nouveau type de spam, si l’on peut dire, semble proliférer. Celui-ci arrive typiquement par email plutôt que par numéro de téléphone, avec un texte vide et un fichier PDF joint. Celui ou celle qui est derrière ces messages de spam veut que les destinataires ouvrent ledit PDF et suivent les éventuels liens dans le fichier.

Gare aux fichiers PDF malveillants

Si vous recevez ce genre de message, n’ouvrez pas le PDF. Le jeu n’en vaut pas la chandelle. Ces pratiques sont assez connues. Microsoft a tout récemment corrigé une faille de ce genre (Follina), qui permettait à une personne malveillante d’exécuter des commandes PowerShell après qu’un utilisateur a ouvert un fichier Microsoft Office corrompu. Oui, il est possible d’attaquer l’appareil d’un utilisateur en utilisant un fichier d’apparence inoffensive.

Il n’est pas impossible d’imaginer un scenario similaire avec un PDF malveillant envoyé par SMS. Si quelqu’un découvre une faille dans iOS ou Android, il peut concevoir un malware qui peut mettre à mal votre smartphone. Là encore, il n’y a pas de rapport de procédés de ce genre, ni de hackers qui tirent parti de PDF, mais mieux vaut prévenir que guérir.

La bonne pratique est donc la suivante : n’ouvrez pas le PDF. Dans l’éventualité où vous l’auriez fait, le PDF est très probablement plein de textes de spam pour vous faire miroiter ceci ou cela. Et inévitablement, il y aura un lien à suivre. NE LE FAITES PAS.

Comme avec tous les liens d’arnaque, il est impossible de savoir où ceux-ci vous emmènent ni ce qui arrivera à votre appareil ou vos données lorsque vous y serez. Là encore, suivre le lien pourrait exécuter des actions contre votre gré. Ceci étant dit, le plus souvent, ces liens vous emmènent vers de faux sites créés pour reproduire des sites tout à fait légitimes et vous faire télécharger des malwares ou renseigner des données personnelles simples. Ne faites évidemment rien de tout cela.

Que faire si vous recevez un PDF de spam

La prochaine fois que vous avez un tel PDF dans vos messages, voici ce que vous devriez faire. Normalement, vous devriez signaler le message à votre opérateur, mais dans la mesure où il s’agit d’un PDF, vous ne pourrez pas transférer le document. À la place, signalez deux fois l’adresse email : l’opérateur va chercher le message en lui-même la première fois que vous signalez, il vous faudra envoyer l’adresse email la seconde fois.

Ces systèmes ne sont pas conçus pour gérer les spams non basés sur les SMS, mais cette méthode de contournement est toujours mieux que rien. En signalant l’adresse email, vous participerez à la faire retirer des expéditeurs, une petite goutte d’eau dans l’océan des spammers, certes, mais cela compte.